La maggior parte delle organizzazioni limita l'accesso al codice sorgente agli ingegneri e, anche in luoghi come Google, il codice sorgente Android è vietato alla maggior parte degli ingegneri all'interno dell'azienda. Perché?
Nota: non sto parlando dell'accesso in scrittura per tutti in azienda, sto parlando dell'accesso in lettura.
Perché il codice sorgente (essendo un componente importante del prodotto di un'azienda) è una risorsa preziosa. E come ogni buona compagnia, proteggi le tue risorse.
Nel caso di beni materiali, li metti dietro le porte chiuse per evitare che vengano rubati. Solo le persone fidate ricevono le chiavi per quelle porte.
Per il codice sorgente, si limita l'accesso a coloro che ne hanno bisogno, che è praticamente solo gli ingegneri che ci stanno lavorando. Tutti gli altri hanno solo bisogno dei binari compilati.
Fuori dalla mia testa:
1) Problemi di sicurezza: se tutti avevano appena letto l'accesso al codice sorgente, allora un hacker avrebbe una gamma più ampia di possibilità per accedere al codice sorgente. Inoltre, amplia le possibilità per gli hacker malintenzionati di sfruttare le debolezze del codice vedendo la fonte (ad esempio conoscendo le regole della password per decifrare i dati protetti).
2) Problemi di proprietà intellettuale: seguendo linee simili a 1), sarebbe più facile per gli individui copiare il codice sorgente per uso illecito. Il codice potrebbe essere espropriato da terze parti, versioni non autorizzate potrebbero essere compilate per l'uso, ecc.
E questo è solo con l'accesso in lettura. Con l'accesso in scrittura si aprono lattine di worm ancora più grandi: rimozione accidentale e / o dannosa o modifiche del codice, commit di codice da posizioni insolite, alberi di revisione di codici incasinati, ecc.
Pensa in questo modo: lasceresti solo qualcuno ad aprire il tuo computer / auto / corpo e lasciarli attirare? Anche se non avevano strumenti espliciti o accesso ad alcuni aspetti di essi / loro? Che cosa potrebbe andare storto?
Probabilmente il codice sorgente dovrebbe essere aperto a tutti i dipendenti, almeno a quelli che hanno firmato un accordo di non divulgazione, o qualunque sia la società in questione che ritiene di aver bisogno di minacciare le persone.
La preoccupazione per la "sicurezza" è enormemente esagerata. È un segreto aperto che il software aziendale su misura abbia destato scarsa attenzione alla sicurezza nella sua progettazione e costruzione. Chiunque abbia un fuzzer può generalmente trovare tutte le falle di sicurezza che desidera. Questo è il motivo per cui la maggior parte delle aziende ha le proprie intranet pesantemente protette da firewall e alcune addirittura dispongono di una "rete ingegneristica" per i sistemi di produzione. Qualunque sia la molteplicità di sviluppatori che lavorano su una determinata applicazione può praticamente bloccarli a piacimento.
L'unico problema di sicurezza che è fattibile è se gli sviluppatori mantengono le password (oracle, o OS o qualsiasi altra cosa) nel codice sorgente. Ma questa è una preoccupazione completamente separata. Qualsiasi standard di sicurezza decente lo proibirà assolutamente.
Matematicamente, non esiste alcun vantaggio in termini di sicurezza per la fonte chiusa. Vedi questo e questo e la prima parte di questo . Aneddoticamente, la realtà funziona come dice la matematica.
I problemi di "Proprietà intellettuale" sono una bestia completamente diversa. Date le rivelazioni nelle SCO Prove di Linux, le aziende potrebbero proteggersi da minacce legali esterne tanto quanto impedire che il loro "IP" manchi. Tuttavia, il vantaggio ottenuto aprendo potrebbe essere maggiore dei danni causati dalle minacce legali. Esistono pochissimi punti di dati, quindi credo che gli avvocati "IP" oi "Risk Manager" stiano dichiarando la fonte chiusa esclusivamente dalla superstizione. È più facile dire "no" piuttosto che dire "sì" al solito aparatchik in una società.
Semplicemente lanciando alcuni suggerimenti:
Forse il codice sorgente è seduto su un repository separato, il che significa che gli amministratori potrebbero dover impostare nuovi account per ogni Tom, Dick e Harry che desiderano l'accesso in lettura. In tal caso, è probabile che gli amministratori configurino solo account per i membri del team. Questo è vero nel mio lavoro, anche se abbiamo solo circa 300 persone.
Forse non vogliono supportare dozzine di versioni differenti tutte scaricate da versioni casuali dal trunk
Leggi altre domande sui tag closed-source access-control