代码泄漏是
最严重的信息安全风暴之一,而游戏行业是代码泄露受灾最严重的地区。游戏公司可以通过以下方式管理源代码泄露的风险:
1.加强员工管理。员工入职前进行详细的背景调查,与关键岗位员工签订竞业限制合同,密切关注其辞职后的动向;
2、将游戏源代码作为商业秘密进行保护,采取保密措施,为全体员工签订保密合同;
3.加强第三方合作实体管理。
4. 注册所有具有版权的独立元素的专著权
源代码泄漏是每个互联网企业的噩梦。代码泄露充其量只能引发信息安全风波,影响互联网公司的生死存亡。游戏行业是最容易发生源代码泄漏的领域。一旦游戏的源代码泄露,后果几乎是不可逆转的。竞争对手可以通过分析和推测源代码来快速开发类似的游戏。即使是游戏玩家,在收到源代码后,也可以直接打开“私人服务器”。除了完全迭代泄漏的版本之外,权力持有者不仅几乎无能为力。因为代码泄露后的流程基本无法控制,事后问责和严厉打击的效果也相当有限,掌权者经常陷入“边打边开,边打边开”的问题。
“传奇游戏”源代码泄漏就是一个很好的例子。1999年前后,传奇游戏的前端程序被恶意盗用。从那时起,代码已经传播到世界各地,并催生了无数的私人服务器。经过两六年的运营,那些传奇的私服依然大量存在,并催生了估值超过50亿元的蓬勃发展的地下私服市场,甚至衍生出“私服一站式”、“私服发布站”、“私服打击群”等行业,令人叹为观止。由于代码泄漏的后果无法逆转,盛大不得不通过向私人服务器支付许可费来补救。
游戏行业源代码泄露的原因
如果我们对游戏行业频繁代码泄露的原因做一些剖析,我们会发现这绝非巧合。根据我们的经验,游戏行业容易发生代码泄漏的原因主要有三个:
1. 游戏行业利润丰厚
有人开玩笑说,虽然中国互联网公司只有两种:卖东西的和做游戏的。这是一个笑话,但它是有道理的。据艾瑞咨询统计,2020年中国游戏产业规模已经达到3300万元。在越来越艰难的现实产业明天,游戏产业被称为“暴利”。如果有巨额利润,自然有人会冒险。即使在目前,我国民法对侵犯专著权的犯罪也始终采取轻惩原则。无论违法行为的严重程度如何,法定最高刑罚仅为10年。不恰当的说法是,与毒品等犯罪相比,侵犯专著权罪可谓是民法上最具“性价比”的犯罪。
2、游戏产业发展投入极高与游戏产业
早期发展不同,游戏已经成为一个高投入、高产出的产业。开发小型网络游戏往往需要数亿甚至数十亿美元的投资。由于竞争激烈,投资失败的概率高,如果能拿到别人成熟游戏的代码,不仅可以大大缩短开发周期,还可以避免高额的开发投入。因此,有人绝望也就不足为奇了。
3.游戏行业需要“快”
与操作系统等生命周期超过十年的软件产品相比,游戏被称为“超短命”。通常,手机游戏的平均生命周期只有三年,页面游戏的平均生命周期只有几个月到一年。在这样一个迭代速度快的行业中,谁能以最快的速度开发出一款高质量的游戏,谁就能抢占先机。但是,一款游戏的开发并不是一件容易的事,项目需要规划,IP需要授权,美术需要设计,程序需要编译,产品需要测试,参数需要平衡。每一步都需要投入大量的时间。于是,有人萌生了“别人的代码”的想法——模仿别人的代码,或者推出一款简单改动的竞争游戏,这是一笔非常实惠的生意。
泄露源代码的方法
本文的核心目的是解决游戏公司源码泄露的问题,在解决这个问题之前,我们必须先确定源码泄露的方式。根据我们的经验,代码泄漏主要通过以下方式发生:
1. 后端代码泄漏
网络游戏的运营结构分为“前端+前端”两部分。游戏的后端程序通常是指安装在客户手机或笔记本电脑中的应用程序或EXE文件。由于此类程序在客户端运行,因此任何游戏玩家都可以访问它们。侵权人可以通过反编译、逆向分析等方式获取游戏后端程序的源代码。
2. 前端代码泄漏
如前所述,网络游戏的运营架构分为“前端+前端”。游戏前端是指运行在服务器中的游戏服务器程序,其作用是通过游戏后端处理玩家产生的交互数据。游戏玩家很难直接访问前端程序。但是,由于服务器直接或间接暴露在互联网上的固有安全风险,游戏前端代码通过服务器泄露的情况时有发生。同时,由于游戏前端大多采用PHP或Java+Mysql等框架开发,一旦泄露,很容易被侵权者进行反向分析。
3. 内部员工流失
堡垒是最容易从内部捕获的,内部工作人员是游戏公司泄露代码的最常见方式。目前,很多游戏公司的信息安全意识非常薄弱。很多程序员缺乏版权意识版权手游源码,自然而然地觉得自己开发的程序是自己的作品,所以随便访问和复制代码的情况并不少见。很多中小型游戏公司甚至把代码放在局域网上一台电脑的共享磁盘上,供人们随便下载学习,这是一种非常可怕的做法。更重要的是,雇用一些员工不是为了工作,而是为了窃取权力持有者的密码。
以下为真实案例,摘自笔者此前办理的侵犯专著权民事举报真实案例:
A公司是一家热门手游的CP,通过游戏频道B公司发布,B公司发现游戏的市场非常好,于是形成了自己开发类似游戏的想法。但B公司缺乏游戏开发经验,所以开始歪脑筋。B公司派程序员以加入公司的名义加入A公司,程序员在获得A公司游戏的源代码后立即辞职。随后,B公司“开发”了一款类似的游戏,并通过模仿A公司的代码,只改变美术设计来销售。因为B公司掌握了游戏开发发行的双渠道,几乎立刻就挤出了A公司的正版游戏,A公司损失惨重。
这无疑是一个悲惨的案件,但更悲惨的是,这些案件每天都在发生。
4. 通过第三方披露
通过第三方窃取游戏代码也是一种常见的泄漏,在行业中很常见。第三方泄露的具体情况如下:
(1)开发外包渗漏:目前,游戏的设计制作早已是社会分工的产物。一些小型网络游戏的开发周期长达数年,投资高达十亿以上。很多游戏公司选择将这部分开发工作外包,是因为在某一方面没有特别强的开发能力。游戏开发外包可能是针对公司、工作室甚至自然人的。在这些情况下,游戏代码、美术设计和游戏计划等顶级商业机密很容易通过外包窃取。
(2)服务器托管泄漏:网络游戏的运营离不开服务器的支持。不过,目前行业内拥有自己的机房的游戏公司寥寥无几。大多数游戏公司选择向第三方IDC服务提供商租用或托管服务器。因为服务器上的最高管理权限在第三方 IDC 中。而且服务器本身可能存在安全漏洞,因此犯罪分子很可能通过该渠道获取服务器端的游戏代码。
(3)代码托管泄漏:在游戏开发过程中,有时需要将代码上传到第三方平台,例如代码托管平台Github,国外公司也有自己的代码托管平台。据悉,开源游戏引擎Unity和虚幻引擎也要求用户上传代码才能从包中出来。此类平台具有与服务器主机相同的安全风险,但它们都或多或少地经历了涉及代码的信息安全风暴。因此,互联网企业在选择代码托管平台时需要谨慎。
如何维护代码安全性
如前所述,一旦游戏代码泄露,后果几乎是不可逆的,因此事后的打击和问责效果远不如事前“防范”。如何维护代码安全,让游戏代码不泄露,成为维护游戏企业信息安全的关键,也是我们下面详述的重点。经验表明,没有一种单一的方法可以解决信息安全的所有问题。信息安全需要全面控制才能取得良好的效果。根据信息安全领域的通用准则,可以通过法律手段和技术手段控制游戏代码泄露的风险。
法律手段:
1. 加强员工管理
对于游戏开发、游戏策划,甚至游戏测试等关键岗位的员工,企业在入职前需要提高紧急招聘标准,进行详细的背景调查。如果可能的话,最好与关键岗位的员工签订竞业限制合同,密切关注他们辞职后的动向。
2. 尝试通过商业秘密保护代码
在专著法中,关于什么是作品的争论还很多,甚至在司法实践中,不同的法院观念也不一致。这是因为专著采用“思想表达的二分法”,思想与表达之间存在一定的模糊性。因此,通过专著权保护游戏代码具有一定的局限性——游戏的某些部分不能被认定为“作品”或“完整作品”,刑事和民事案件中识别“侵权作品”的标准也有很大差异。这使得法典的某些部分难以受到专著法的保护。但是,在保护游戏源代码作为商业秘密的同时,采取保密措施并与全体员工签订保密合同,同时将游戏源代码作为商业秘密进行保护,是特别好的补充。
3、加强对第三方合作伙伴的管理
虽然游戏公司会在
游戏开发和运营的整个生命周期中,不可避免地涉及与第三方公司的合作,在最终选择重要供应商之前,他们必须做好彻底的尽职调查并签署详细的保密合同。需要注意的是,由于信息安全领域的关注点与资本市场的关注点不同,信息安全尽职调查的重点与普通非诉讼尽职调查的重点不同。信息安全尽职调查的范围应当包括其准备时间、注册资本、投资关系、软硬件部署、历史安全风暴、安全等级防护资质、专业技术人员人数和资质等。
4.正确固定电源底座目前,游戏
公司普遍对游戏强力基础的重要性认识不足,从CEO到法务大家都觉得只要游戏注册就没事,这是一个严重的误区。游戏是典型的复合作品,包括程序、美术、音乐、故事情节等元素。现有的软件注册系统仅将游戏视为软件,并不试图修复其中的重要元素。而且,软件注册不需要提交完整的源代码和资源文档,所以被侵权后,游戏公司经常会遇到无法证明自己的权力是如何以及何时形成的,甚至在游戏侵权诉讼中被侵权人咬回去,权力持有者被贴上侵权者的烙印的困境。有鉴于此,游戏公司有必要对所有具有著作权的独立元素进行专著权登记,或者固定在先权利的证据,防患于未然(由于篇幅所限,游戏产品在先权利的固定方式在本文中难以发展,针对这一问题, 我们将在 Tiantong.com 的后面文章中讨论这个问题,请注意)。
技术手段:
1. 坚持代码本地化
代码本地化存储是游戏企业信息安全的基本原则。没有一个在线平台是100%安全的,因此游戏公司应首先避免将游戏代码上传到任何内部网平台。包括代码托管平台GitHub或者游戏开源引擎平台等(有些开源游戏引擎强制上传代码,否则很难打包,如何解决这个问题相信你有经验)。一些代码托管
平台声称采用了多层安全架构和多种安全措施来确保托管代码的安全性。我相信他们真的很努力。而且我们需要知道,几乎所有的安全措施都针对已知的漏洞,并不能防范0day,但是这个代码托管平台本身就是一个非常大的APT渗透目标,同时版权手游源码,它们像任何互联网公司一样存在一定程度的内部管理问题。
2.做好局域网安全防护
代码本地化存储只是游戏企业信息安全的第一步,如果没有完善的安全机制,存储在本地的代码也将面临被盗的风险。从风险防控角度看,应绝对防范以下情况:使用弱密码、密码多年不修改、允许匿名登录、不做域管理、没有防火墙和IPS、允许未经授权的设备访问网络、不做MAC绑定、内网允许访客访问, 允许任意使用U盘,允许将生产设备带离公司,开放SVN服务器的权限等等。
以天通互联网团队为例,由于我们在工作过程中不可避免地会接触到客户的源代码或敏感数据信息,为了加强对此类信息的保护,我们使用的办公网络独立于整个律师事务所,并且有自己独立的防火墙、服务器和NAS。黑客很难通过两层 NAT。这些结构提供了良好的信息安全性。
3. 使用代码混淆技术
所谓代码混淆,是指利用混淆工具,不规则地改变和打乱代码、变量和函数名称的顺序,以提高理解程序的难度。但是,需要注意的是,代码混淆并不是唯一的救命稻草,代码混淆只能使代码难以理解,而不能使代码难以理解。
4. 使用蜜罐在
传统网络安全领域,蜜罐是指在网络中设置诱饵型设备,打开容易被攻击的服务和端口,迫使黑客对其进行攻击,从而促使网络管理员尽快发现网络中发生的风险,以确保生产设备的安全。但在代码安全的上下文中,蜜罐是指将一些特定的字符串、特定的变量和函数名称以及特定的程序函数和估计结果插入到程序中。因为窃取代码的侵权者通常不会对代码进行深入分析,所以这个特定的字符串、特定的变量和函数名称、特定的程序函数和估计结果都会被保存在侵权游戏中,成为证明敌人权力基础的最佳证据。
5. 选择强大的编译开发工具
当我还是一名程序员时,计算机语言被明确定义为“编译语言”和“解释语言”(没有仔细的年龄)。例如,C++ 是一种典型的编译语言,而 VBS 和 JavaScript 等脚本语言是典型的解释型语言。“编译语言”和“解释语言”最大的区别在于,代码一旦编译,就很难做逆向分析,而“解释语言”的源代码不需要编译,任何收到代码的人都可以做分析。因此,从代码安全性的角度来看,“编译语言”更安全。
但随着编程语言的发展,程序开发工具变得非常灵活,允许更多的功能和更大的可移植性。根据环境和用户要求,许多语言如.无论是Net还是Java都可以作为中间语言进行编译或解释或处理,因此目前“编译语言”和“解释语言”之间没有明确的界限。在游戏开发过程中,您应该尝试选择一种更易于编译且更难反向分析的语言。例如,将C++中的关键代码打包到 SO 文件中。
6. 加密资源文件
从广义上讲,游戏代码不仅仅是程序句子,还包括游戏运行所必需的字符串、参数等,而这类字符串和参数通常保存在INI、XML、LUAC等格式文件中。游戏中的角色和价值观看似不是程序,却凝聚了游戏计划的精髓,需要精心设计和无数次调试才能获得,蕴含着巨大的商业价值。在许多情况下,游戏的数字系统甚至比游戏程序和美术设计更有价值。但是,这类内容本身并不能构成专著法意义上的“作品”,为了加强对这部分内容的保护,我们可以考虑采用加密方式进行处理,使侵权人在收到文件后无法直接访问文献内容。
·完·
高性价比【永久VIP会员】68元5折所有网站资源下载
【SVIP会员年费】128元免费下载所有网站资源
【永久会员】188元免费下载所有网站资源
我们会员资格的 9 大好处是什么?1.发布的源代码/资源已经被大多数网站/其他站长/用户测试和使用,质量极高!
2、本站只发布合法内容,从不发布非法内容,服务器续费5年,网站长期安全不运行!
3、本站整合多个网站的永久中级会员,开通本站会员相当于同时享受多个网站中级会员,超级实惠!
4.我们不限制每晚下载次数,图片无水印,方便资源站长一键复制文章!节省大量时间!!
5. SVIP会员不再单独支付任何资源下载费用,整个网站免费!
6、源码文件中杂乱的广告文件大部分早已删除,文件干净整洁,易于部署!
7.一键传输整个站点文件到百度网盘,可随时下载!不要害怕失去!
8.资源不断更新,不会破成死站,随时找到你需要的资源,当前1W+优质资源/源码!
9、资源下载链接由本站个人生成,均为有效下载链接,防止下载链接失败!
本站开通了会员技术交流QQ群,仅限SVIP永久会员加入,群号:831041601
高性价比【永久VIP会员】68元5折所有网站资源下载
【SVIP会员年费】128元免费下载所有网站资源
【永久会员】188元免费下载所有网站资源
我们会员资格的 9 大好处是什么?1.发布的源代码/资源已经被大多数网站/其他站长/用户测试和使用c 手游源码,质量极高!
2、本站只发布合法内容,从不发布非法内容,服务器续费5年,网站长期安全不运行!
3、本站整合多个网站的永久中级会员,开通本站会员相当于同时享受多个网站中级会员,超级实惠!
4.我们不限制每晚下载次数,图片无水印,方便资源站长一键复制文章!节省大量时间!!
5. SVIP会员不再单独支付任何资源下载费用,整个网站免费!
6、源码文件中杂乱的广告文件大部分早已删除,文件干净整洁,易于部署!
7.一键传输整个站点文件到百度网盘,可随时下载!不要害怕失去!
8.资源不断更新,不会破成死站,随时找到你需要的资源,当前1W+优质资源/源码!
9、资源下载链接由本站个人生成,均为有效下载链接,防止下载链接失败!
本站开通了会员技术交流QQ群,仅限SVIP永久会员加入,群号:831041601
高性价比【永久VIP会员】68元5折所有网站资源下载
【SVIP会员年费】128元免费下载所有网站资源
【永久会员】188元免费下载所有网站资源
我们会员资格的 9 大好处是什么?1.发布的源代码/资源已经被大多数网站/其他站长/用户测试和使用,质量极高!
2、本站只发布合法内容,从不发布非法内容,服务器续费5年,网站长期安全不运行!
3、本站整合多个网站的永久中级会员,开通本站会员相当于同时享受多个网站中级会员,超级实惠!
4.我们不限制每晚下载次数,图片无水印,方便资源站长一键复制文章!节省大量时间!!
5. SVIP会员不再单独支付任何资源下载费用,整个网站免费!
6、源码文件中杂乱的广告文件大部分早已删除,文件干净整洁c 手游源码,易于部署!
7.一键传输整个站点文件到百度网盘,可随时下载!不要害怕失去!
8.资源不断更新,不会破成死站,随时找到你需要的资源,当前1W+优质资源/源码!
9、资源下载链接由本站个人生成,均为有效下载链接,防止下载链接失败!
本站开通了会员技术交流QQ群,仅限SVIP永久会员加入,群号:831041601
