竞争对手公司盗窃了源代码

在我工作过的一些公司中，经理们在IT安全顾问上花了很多钱。主要是因为他们担心我们会被竞争对手的公司窃取源代码。但是，作为一名程序员，我认为与竞争对手的公司比较无关紧要，因为它会发现实际的源代码很有用。毕竟，只需访问我们的应用程序就足够了，而且这可以在不违反法律的情况下完成。我认为，业务人员处理的数据比源代码有用得多。

我的问题是；是否有已知的例子，其中源代码被盗并且竞争对手使用了它？

我知道一些游戏引擎（如果我没记错的话，是地震1和半条命2）的源代码被盗了，但是我看不到真的伤害了他们的业务。

（我知道，这个问题可能更适合Stackexchange上的其他论坛）

今年初卡巴斯基泄漏就是一个很好的例子。根据您阅读的对象的不同，泄漏的版本可能已经过了一个或两个周期，而作案者可能试图将其出售给竞争对手。不管是否出售，最终通过torrent进行的公开显然都是令人讨厌的东西，并且可能（对吗？）产生严重的财务影响。

正是《半条命2》在2004年发布之前就被泄露了。这里发生的事情有一个很好的记录：http : //www.eurogamer.net/articles/2011-02-21-the-boy-who-stole-半条命2条

我还认为担心有人盗用产品x的宝贵源代码的担心被高估了。即使某人拥有源代码，该源代码绝不会自动导致小偷有机会使用该代码。

是的，已编写的软件产品具有价值，但更大的价值在于开发该应用程序的人们的头脑中。当开发人员（或一组开发人员）离开现有的开发项目并被新的开发人员（或顾问或项目中人们所拥有的任何部分）替代时，可以看到这一点。要使它们尽快适应当前使用的技术和产品开发所依据的体系结构，通常会花费大量时间和精力。我已经看到了不止一种情况，与尝试挖掘现有代码并试图理解其真正作用相比，通过引入一组新的设计人员来重新设计新应用程序完全可以从头开始完全重写。 。

幸运的是，仅仅窃取浓缩铀并不能为您提供开发核武器的一切。源代码并没有什么不同。

因此，我认为在被盗源代码用于基于其他人已经完成的工作来开发新应用程序的参考文献中，引用的人并不多。已经做的是窃取产品的想法，然后开始实施过程。因此，感性的部分是保护思想，而不是遵循这些思想的产品。该产品可以很容易地复制。

以下是一些我个人知道的示例...

作为Unix的一部分，AT＆T开发了yacc解析器生成器和lex词法分析器生成器。只有在获得Unix源许可证的情况下，您才应该获得源的副本...但是有人从办公桌旁刷了一个副本，一个人的桌子在1980年左右的某个时候将保持匿名。我，我不确定他是不是想弄他的名字。）源开始四处飘荡，人们将它们移植到IBM PC yadda yadda。我从奥斯丁的一家公司那里获得了副本，该公司在1986年左右销售“漂亮程序的源代码”软盘。

早在1990年左右，微软就为此而享有盛誉，尽管我不确定这完全是公司政策。除了提到的Stac案，Tangurena之外，一家以前曾为Apple进行将QuickTime移植到Windows的工作的咨询公司还重新利用了英特尔和微软项目中的一些QuickTime专有资源，以加速MS的Windows Video。苹果公司最终获得了针对Windows视频的停船禁令。外部人士肯定不清楚英特尔和/或微软是否有人知道这种盗窃行为。

但是，对于美国公司来说，这实际上并没有发生太多-风险太高了。例如，当我正与Oracle进行基准测试之战时，我是一家已经不复存在的数据库供应商Informix的承包商，而Informix一直保持胜利。Oracle雇用了一位Informix的核心数据库工程师，他在第一天就带着一块满载Informix资源的硬盘出现在工作中，认为他们会张开双臂欢迎他。他们很好地欢迎他-并有一个安全小组护送他到警察局。他们还称Informix安全性可以过来并检索未经检查的硬盘驱动器。

是否有已知的例子，其中源代码被盗并且竞争对手使用了它？

立即想到的一个是Microsoft窃取了DoubleSpace的Stac Electronics代码。最终以法庭告终，对于Microsoft而言，最便宜的解决方案是购买Stac（最初他们声称要这样做），这就是为什么他们可以访问源代码，然后选择将复制的代码部署为Drivespace，然后嘲讽Stac的原因。 “你打算怎么办呢？”）。

我认为这在很大程度上取决于特定的代码库。但是，如果只有一小部分专有源代码值得窃取，我会感到惊讶。

在大多数情况下，源代码是一种责任，而不像某些商人所想的那样是一种资产。资产是正在运行的可执行文件，是知道如何根据将来的业务需求对其进行适应和发展的人员。

除了窃取源代码的高法律风险和购买源代码的直接成本外，您自己的开发人员还需要了解它。对于非琐碎的代码库，这是一项巨大的工作-特别是如果原始开发人员无法提供帮助的话。Peter Seibel（实践通用Lisp和程序员在成名中）曾经说过，时间量与最初的开发工作量级相同。

但是也有例外，例如，如果代码库...

• ...包含极有价值的，易于识别的离散零件（例如，专有算法的特征明显优于众所周知的同类零件）
• ...从“模糊性”中获取了巨大价值，例如一些与安全相关的产品
• ...本身很小，具有严格的正确性要求，这在嵌入式软件中很常见（例如，其价值在于接受广泛的测试，审查，甚至可能需要经过正式的证明）
• ...包含忽视/违反合同/不道德的商业行为/不称职等的证据。

一个著名的案例是高盛的高频交易源代码被一名前员工盗用：http : //www.bloomberg.com/apps/news? pid=newsarchive& sid=axYw_ykTBokE

在此领域中，源代码很有价值，因为它包含交易算法。

对于产品开发人员来说，这种事情很有趣，因为嵌入式公司是GOLD，并且多年来源代码或目标代码被盗。在工程杂志上，您会偶尔发现更多文章。

是的，有几个示例，但是我不知道专有代码。有关公司在哪里使用开源代码的示例，请参阅http://gpl-violations.org/。在这些情况下，获取源代码不是问题，因为它是开源的。

这完全取决于它是什么类型的应用程序，以及复制应用程序行为的容易程度。我敢肯定，微软很乐意接触Google搜索引擎的源代码。如果这样做，他们将给他们造成沉重的损失。

但是，任何有经验的开发人员都可以复制99％的Web或桌面应用程序的确切行为，而无需使用源代码。

重要的是公司将广泛的工作投入到其他人都无法做到的引擎（即物理引擎，搜索引擎）中

也就是说，在大多数情况下，这并不重要。

我可以想到两个例子：

• Tengen非法获得了NES复制保护芯片的代码。然后，他们使用该代码制作了未经许可的NES墨盒（包括Tetris）。他们如何获得代码？通过在美国版权局之外对它进行社会工程设计。换句话说，他们错误地声称自己被任天堂起诉，并且他们需要源代码来准备自己的辩护。有效。
• 参见ARJ与PK-ZIP。

通常，窃取代码并不像您是一家企业一样值得，并且发现您未经许可使用他人的代码，他们就可以起诉您。

我真正看到的关于您的代码被盗的唯一问题是：A）互联网上的人们，而非公司，免费使用它并对其进行修改，以及B）如果他们走得很远，可以使用您的源代码然后执行干净的操作，房间逆向工程。

http://en.wikipedia.org/wiki/Clean_room_design

但是，这对于他们来说将是巨大的努力，因此，只要您的许可条款合理，我就认为它不可行。