今天吃個瓜。

昨天下午B站源碼竟然被惡意開源，想必很多讀者都已吃過。就不在贅述了。不少網友吐槽官方對項目代碼安全方面管理不到位也是造成泄露的主要原因。今天就說說關於代碼安全方面的事情，真的是企業不夠重視項目代碼安全或管理不到位嗎？

算上實習我也是入職過各類有代表性的公司，規模有大有小，性質有國企也有私企。他們對於代碼安全方面的管理措施也各不相同。

確實有不重視代碼安全的企業，但一般也都是些創業型的小公司，別說代碼安全 ，就連自己的代碼管理平臺都沒有，基本上就是直接購買第三方平臺的私有庫進行托管。只要有賬號密碼，項目可以clone到任意地方。但也可以理解，畢竟有限的資金和人力要用在刀刃上。

但大多數有點規模的企業會考慮到不限於代碼方面的安全，都有一些通用的安全措施。

1. 禁止使用自己的電腦辦公甚至測試機都必須報備在冊。
2. 限制USB接口的權限，禁止數據的傳輸。
3. 禁止辦公電腦安裝一些軟件、訪問一些網站。
4. 對項目代碼設置對應的權限，前端程序員是看不到後臺項目。有一種git clone的報錯叫你沒有權限訪問。
5. 還有一種環境叫做內網。

當然這些措施都是需要人力物力財力的支持。不過對於程序員來說越過這些”防火墻“還是很灑灑水的。

那麽企業真的沒有辦法保證項目代碼的安全嗎？

有，我經歷過，且記憶猶新！

14年在北京實習時被外派到一家軍工企業，至今不知道叫什麽。後來才知道是做武器裝備信息管理系統的項目，當然，提供的數據肯定是假的。

首先，地點很隱蔽，在北京一個深山老林中，開車繞了很久才到；一周為單位，工作環境全封閉，工作期間禁止外出；進去就要簽訂各種保密協議，進出辦公區除了刷卡外，要登記造冊；手機等設備禁止帶入辦公區。

其次硬件方面，電腦主機竟然沒有USB接口，操作系統，數據庫等也不是市面上常見的，後來聽說是自主研發的，反正很難用。

網絡環境方面也是全封閉，剛開始沒有任何機會訪問外網，想復制粘貼開源的代碼不可能，程序有了錯誤只能用筆記下來，到非辦公區用自己的手機聯網查找解決。這樣肯定會影響開發效率，經過一周的協調，在操作系統上安裝了一個類似於沙盒機制的虛擬機，通過虛擬機可以上網，但數據傳輸是不可能的，連復制粘貼都做不到。手敲異常信息絕對是件讓人抓狂的事，沒經過你不會懂。那種無奈至今難忘。這也是我遇到過的最嚴的項目管理措施。項目源碼肯定不能被泄露，但我真的會瘋...

別以為這項目技術有多高，其實就是個ERP系統，什麽框架都不用，全是jsp+servlet....

關於項目代碼的安全方面，不是企業不重視，也不是技術做不到，它真的是個很蛋疼的事。用力不夠，效果不大。用力過猛，影響效率不說，相信很多程序員都接受不了吧。

這樣做源碼肯定不能被泄露，但你會瘋...