作者注:代码泄露是最严重的信息安全事件之一,而游戏行业是代码泄露的重灾区。 本文将从代码泄露的原因、途径和解决方案三个方面重点阐述代码泄露的控制和预防技术。 需要说明的是,虽然本文以游戏公司为例,但本文讨论的信息安全原则和方法适用于所有互联网公司。
本文共5602字,建议阅读时间11分钟
源代码泄露是每个互联网企业的噩梦。 代码泄露至少会引发信息安全风波,对于互联网企业的生死存亡至关重要。 游戏行业是最容易发生源代码泄露的行业。 游戏源代码一旦泄露,后果几乎是不可逆转的。 竞争对手可以通过分析和猜测源代码来快速开发类似的游戏。 甚至游戏玩家收到源代码后也可以直接开启“私服”。 除了彻底迭代盗版之外,强者几乎无事可做。 由于代码泄露后的流向基本不可控,事后问责和严厉打击的效果也相当有限。 当权者常常陷入“边打边打、边打边开”的困境。
《传奇游戏》源代码泄露就是一个典型的例子。 1999年左右,传奇游戏的前端程序被恶意窃取。 从那时起,代码就传播到了世界各地,催生了无数的私服。 经过26年的运营,那些传奇私服至今依然大量存在手游平台源码是什么,并造就了估值超过50亿的蓬勃发展的地下私服市场,甚至催生了“私服一站式服务”、“私服”发布站”和“私服功能”。 “热门团体”等行业令人叹为观止。 由于代码泄露的后果无法挽回,当时的盛大公司不得不通过向私服支付授权费来做出补救。
一、游戏行业源码泄露的原因
如果我们对游戏行业频繁发生代码泄露的原因进行一些分析,就会发现这绝不是巧合。 根据我们的经验,游戏行业代码泄露的原因主要有以下三个:
1、游戏行业利润丰厚
尤军开玩笑说,虽然中国的互联网公司只有两种:卖东西的和做游戏的。 这话虽然是玩笑,但也不无道理。 据艾瑞咨询统计,2020年中国游戏产业规模已达3300万元,明天的游戏产业在日益艰难的实体产业中被誉为“暴利”。 自然,如果有巨大的利润,就会有人去冒险。 即使目前,我国民法对于侵犯垄断权犯罪也始终采取从轻处罚的态度。 无论违法行为多么严重,法定最高刑罚也不过是10年有期徒刑。 不恰当地说,与毒品等犯罪相比,侵犯垄断权犯罪可谓是民法中性价比最高的犯罪。
2、游戏行业研发投入极高
与游戏产业最初发展不同,现在游戏已经成为一个高投入、高产出的产业。 小型网络游戏的开发往往需要数亿甚至数十亿美元的投资。 由于竞争激烈,投资失败的机会也很大。 如果能拿到其他成熟游戏的代码,不仅可以大大缩短开发周期,还可以避免高昂的开发投入。 因此,一些人采取孤注一掷的措施也就不足为奇了。
3、游戏行业需要“快”
天下武功,速度快,坚不可摧。 与操作系统等生命周期往往长达十几年的软件产品相比,游戏被称为“超短命”。 通常手游的平均生命周期只有三年,页游的平均生命周期只有几个月到一年。 在如此快速迭代的行业中,谁能以最快的速度开发出高质量的游戏,谁就能占据领先地位。 然而,游戏开发并不容易。 项目需要策划,IP需要授权,美术需要设计,程序需要编写,产品需要测试,参数需要平衡。 每个环节都需要投入大量的时间。 因此,有人开始萌生了“别人的代码”的想法——模仿别人代码的原貌或者进行简单的修改来推出一款竞品游戏,确实是一门非常实惠的生意。
2. 源代码泄露途径
本文的核心目的是解决游戏公司源码泄露的问题。 在解决这个问题之前,我们首先要了解源码泄露的途径。 根据我们的经验,代码泄露主要通过以下渠道发生:
1. 后端代码泄露
网络游戏的运行架构分为“前端+前端”两部分。 游戏的后端程序通常是指安装在客户手机或笔记本电脑上的APP或EXE文件。 由于这些程序在客户端运行,因此任何游戏玩家都可以访问它们。 侵权者可以通过反编译、逆向分析等方式获取游戏后端程序的源代码。
2.前端代码泄露
前面说过,网络游戏的运行架构分为“前端+前端”。 游戏前端是指运行在服务器上的游戏服务器程序。 其功能是处理玩家通过游戏后端产生的交互数据。 游戏玩家很难直接访问前端程序。 但由于服务器直接暴露或间接暴露在互联网上,存在固有的安全风险。 游戏前端代码通过服务器泄露的情况经常发生。 同时,由于大多数游戏前端都是使用PHP或Java+Mysql等框架开发,一旦泄露,很容易被侵权者逆向分析。
3、内部员工泄露
要塞最容易从内部攻陷,内部员工是游戏公司最常见的代码泄露源。 目前,很多游戏公司的信息安全意识非常淡薄。 很多程序员缺乏版权意识,自然而然地觉得自己开发的程序是自己的作品,因此随意访问和复制代码的情况并不少见。 许多中小型游戏公司甚至将代码放入局域网中计算机的共享盘中,供人们随意下载和学习。 这是一个非常可怕的做法。 更重要的是,有些员工加入公司不是为了工作,而是为了窃取有权势人士的代码。
以下为真实案例,来自笔者之前代理处理过的一起专着侵权民事举报真实案例:
A公司是一款热门手游的CP,该游戏通过B公司的游戏渠道发行。B公司发现这款游戏的市场非常好,于是萌生了自己开发一款类似游戏的想法。 但B公司苦于没有游戏开发经验,所以才动脑子。 B公司以就业名义派出一名程序员加入A公司,该程序员在拿到A公司游戏源代码后立即辞职。 随后,B公司模仿A公司的代码,仅改变美术设计,“开发”了一款类似的游戏,并上市销售。 由于B公司掌握了游戏开发和发行的双渠道,几乎立即将A公司的正版游戏挤出市场,A公司损失惨重。
这无疑是一个悲惨的案例,但更悲惨的是,这样的案例每天都在发生。
4.通过第三方泄露
通过第三方窃取游戏代码也是一种常见的泄露方式,这在行业内并不少见。 第三方泄露的具体情况如下:
(1)开发外包的泄露:目前,游戏的设计和制作早已是社会分工的产物。 一些小型网游的开发周期长达数年,投资达到10亿以上。 很多游戏公司会选择外包这部分开发工作,因为他们在某一方面并没有特别强的开发能力。 游戏开发外包的对象可能是某个公司、某个工作室甚至某个自然人。 在这种情况下,游戏代码、美术设计、游戏策划等最高商业机密很容易通过外包被窃取。
(2)服务器托管泄露:网络游戏的运营离不开服务器的支持。 但目前行业内拥有自建机房的游戏公司寥寥无几。 大多数游戏公司选择向第三方IDC服务商租用或托管服务器。 因为服务器的最高管理权限在第三方IDC。 而且服务器本身可能存在安全漏洞,因此不法分子很可能通过这个渠道获取服务器端游戏代码。
(3)代码托管泄露:在游戏开发过程中,有时需要将代码上传到第三方平台,例如代码托管平台Github。 国外公司也有自建的代码托管平台。 据悉,开源游戏引擎Unity和Unreal也需要用户上传代码才能够发布包。 这类平台与服务器托管提供商有着同样的安全风险,但都或多或少经历过涉及代码的信息安全事件。 因此,互联网公司在选择代码托管平台时需要谨慎。
3.如何维护代码安全
如上所述,游戏代码一旦泄露,后果几乎是不可逆转的,因此事后严厉打击和问责远不如事前“未雨绸缪”来得有效。 如何维护代码安全,让游戏代码不被泄露,成为了维护游戏公司信息安全的关键,也是我们下面详细讨论的重点。 经验证明,任何一种手段都无法解决信息安全的所有问题。 信息安全需要综合管控才能取得更好的效果。 根据信息安全领域的通用准则,可以通过法律和技术手段控制游戏代码泄露的风险。
·法律手段:
1、加强员工管理
对于游戏开发、游戏策划、甚至游戏测试等关键岗位的员工,企业需要提高紧急招聘标准手游平台源码是什么,并在加入前进行详细的背景调查。 如果可以的话,最好与关键岗位员工签订竞业限制合同,并密切关注其辞职后的动向。
2. 尝试用商业秘密保护代码
在专着法中,对于什么构成作品仍然存在着无休无止的争论,甚至在司法实践中,不同法院的看法也不一致。 这是因为专着权采取“思想与表达二分法”,思想与表达之间存在一定的模糊地带。 因此,通过专有权保护游戏代码存在一定的局限性——游戏中的某些内容不能被认定为“作品”或“完整作品”。 此外,在刑事案件和民事案件中,“侵权作品”的认定标准也有很大不同。 这使得某些代码很难受到版权法的保护。 但同时将游戏源代码作为商业秘密进行保护,采取保密措施并所有员工签订保密合同,同时将游戏源代码作为商业秘密进行保护,是一个特别好的补充。
3、加强第三方合作伙伴管理
虽然游戏公司在游戏开发和运营的整个生命周期中不可避免地会涉及到与第三方公司的合作,但在最终选择重要供应商之前必须进行完整的尽职调查并签署详细的保密合同。 需要注意的是,由于信息安全领域关注的问题与资本市场不同,信息安全尽职调查的侧重点也不同于普通非诉讼尽职调查。 信息安全尽职调查的范围应包括其筹建时间、注册资本、投资关系、软硬件部署、历史安全事件、安全等级防护资质、专业技术人员的数量和资质等。
4.正确固定电源底座
目前游戏公司普遍对游戏势力基础的重要性认识不够。 从CEO到法务部,大家都认为游戏只要有软件注册就万事大吉了。 这是一个严重的误解。 游戏是典型的复合型作品,包含了编程、美术、音乐、故事情节等多种元素。 现有的软件注册系统仅将游戏视为一个软件,并没有尝试修复其中的重要元素。 而且,软拷贝注册不需要提交完整的源代码和资源文件。 因此,游戏公司受到侵权后,往往会遇到无法证明其权利是如何、何时形成的困境。 甚至当游戏侵权发生时,也可能会出现这种情况。 诉讼过程中,侵权人反咬一口,有权势的人被扣上侵权人的帽子。 鉴于此,游戏公司有必要对所有具有版权的独立元素进行独占登记,或者固定在先权利证据,防患于未然(由于篇幅限制,很难固定在先权利)本文中的游戏产品,我们将在天通网后续的文章中详细阐述这个问题,敬请关注)。
·技术手段:
1.坚持代码本地化
代码本地化存储是游戏公司信息安全的基本原则。 任何在线平台都不可能是100%安全的,因此游戏公司首先必须避免将游戏代码上传到任何内网平台。 包括代码托管平台GitHub或者游戏开源引擎平台等(有些开源游戏引擎强制你上传代码,否则很难打包,相信大家对于如何解决这个问题都有想法)。
一些代码托管平台会声称采用多层安全架构和多重安全措施来保证托管代码的安全。 我相信他们真的很努力。 而且我们要知道,几乎所有的安全措施都是针对已知的漏洞,无法防范0day。 然而,这种代码托管平台本身就是一个非常大的APT渗透目标。 同时,它们与任何互联网漏洞都密切相关。 企业都不同程度地存在内部管理问题。
2、做好局域网的安全防护
代码本地化存储只是游戏公司信息安全的第一步。 如果没有完善的安全机制,本地存储的代码也会面临被盗的风险。 从风险防控的角度来看,以下情况必须绝对避免:使用弱密码、常年不修改密码、允许匿名登录、无域管理、无防火墙和IPS、允许未授权设备访问网络、不允许需要进行MAC绑定、允许访客访问内网、允许U盘随意使用、允许生产设备带离公司、开放SVN服务器的权限等。
以天通互联网团队为例。 由于我们在工作过程中不可避免地会接触到客户的源代码或敏感数据信息,为了加强对此类信息的保护,我们使用的办公网络独立于整个法律体系。 并拥有自己独立的防火墙、服务器和NAS。 黑客很难穿过两层NAT。 这些架构提供了良好的信息安全性。
3.使用代码混淆技术
所谓代码混淆,是指利用混淆工具,不定期地改变、混淆代码的顺序以及变量、函数的名称。 目的是增加程序的理解难度。 但应该注意的是,代码混淆并不是唯一的救命方法。 代码混淆只能使代码难以理解,但不能使代码难以理解。
4.使用蜜罐
在传统网络安全领域,蜜罐是指在网络中设置诱饵设备,开放容易受到攻击的服务和端口,迫使黑客对其进行攻击,以便网络管理员能够尽快发现网络。 确保生产设备安全。 但从代码安全的角度来说,蜜罐是指在程序中放置一些特定的字符串、特定的变量名和函数名,以及特定的程序函数和估计结果。 由于盗取代码的侵权者通常不会对代码进行深入分析,因此这些特定的字符串、特定的变量名和函数名、特定的程序函数和估算结果都会保留在侵权游戏中,成为证明敌方实力的依据。 最好的证据。
5、选择强大的编译开发工具
笔者在还是程序员的时候,计算机语言被明确定义为“编译型语言”和“解释型语言”(我不小心暴露了自己的年龄)。 例如,C++是典型的编译型语言,而VBS、JavaScript等脚本语言是典型的解释型语言。 “编译型语言”和“解释型语言”最大的区别在于,“编译型语言”一旦代码被编译就很难逆向分析,而“解释型语言”的源代码不需要编译,任何人都可以获得代码。 进行分析。 因此,从代码安全的角度来看,“编译型语言”更安全。
然而,随着编程语言的发展,程序开发工具变得极其灵活,因此可以具有更多的功能和更大的可移植性。 根据环境和用户需求的不同,.Net或Java等许多语言都可以编译或解释,或者处理成中间语言,因此目前不存在“编译型语言”和“解释型语言”的区别。 没有明确的界限。 在游戏开发过程中,应该尽量选择编译级别更强、逆向分析难度更大的语言。 例如,使用C++将关键代码打包成SO文件。
6. 加密资源文件
广义的游戏代码不仅包括程序语句,还包括游戏运行所需的字符串、参数等。 此类字符串和参数通常保存在INI、XML、LUAC等格式文件中。 游戏中的人物和数值看似不是程序,但却凝结了游戏策划的精髓,可以通过精心设计和无数调试而获得,并蕴藏着巨大的商业价值。 很多时候,游戏的数值系统甚至比游戏程序和美术设计更有价值。 但此类内容本身并不能构成垄断法意义上的“作品”。 为了加强对这部分内容的保护,我们可以考虑采用加密的方法来处理,使得侵权者收到文件后无法直接获取文件的内容。
结论
以上是天通互联网团队对游戏公司代码安全问题的一些总结和思考。 素材来源于我们多年办理的游戏侵权案件以及我们在信息安全领域的成功实践。 由于篇幅有限,很多问题无法一一阐述。 对于读者来说,如标题所说的“从初学者到高手”可能有些困难。 如果读者有兴趣,可以通过陌陌或邮件与我们进一步详细阐述。 通过本文,我们希望为互联网企业的法律和技术同行提供一些有效的方法、技术和启示,以提高互联网企业对信息安全的重视程度和安全标准。 最终实现无代码泄露、无私服的安全、公平的互联网竞争环境。 让世界没有诉讼!
《天通网事》专栏由邹晓晨律师撰写/主持。 本专栏深入研究互联网行业竞争、知识产权、信息安全等领域的相关技术和法律问题,旨在引领其成为一门全新的“边缘学科”。 我们希望通过这个栏目与法律同仁、互联网行业同仁分享信息、碰撞观点、传播知识和经验。 如果您有什么看法、意见或建议,请点击文末留言。
要查看最近的文章,请点击以下链接:
