Google代码搜索与商业软件
虽然Google代码搜索目前针对开源软件项目,但是,这并不意味商业软件机构应该忽略它。事实上,这对于开发自己的代码的任何机构来说都有许多意义。例如,如果专有的、内部的代码被Google编入索引,居心不良的人就能够找到安全漏洞并且利用这些安全漏洞攻击受影响的系统。
那么,企业应该采取什么措施保护自己避免受到恶意使用Google代码搜索的影响?一些人建议明确地为源代码做一个“专有的”标记,并且在代码本身加上注释防止Google代码搜索的扫描。虽然这是一个好主意,但是,这个方法目前还不能阻止Google把任何可用的代码放到它的数据库中。我知道这个情况,因为我进行了“专有的”代码搜索,结果发现了99,900条代码,其中有的代码称“这是厂商不公开发布的专有源代码”。Google将来可能会过滤这样的源代码,但是,Google现在还不想这样做。
防止Google代码搜索滥用
由于上述说法,企业能够采取某些步骤保护自己避免受到错误使用或者滥用Google代码搜索的影响。首先,确定源代码不能够通过网络访问,除非有诱人的商业理由让人们通过网络访问这些源代码。其次,在你的网络服务器上执行robots.txt文件。在搜索Google能够搜索到的内容时,这将会限制Google搜索引擎的参数。你还可以使用robots.txt告诉行为良好的搜索引擎,当进行搜索时某些目录是超出了限制的。要了解如何设置robots.txt文件,请访问www.robotstxt.org。重要的是需要指出,robots.txt是一把双刃剑:当它不让行为良好的搜索引擎扫描你的网站的某些敏感的区域的时候,它也把坏蛋的注意力吸引到了那里。
然而,一个企业需要一个质量保证计划以保证代码本身的安全漏洞处于最小的状态,这是不用说的。使用代码评估和认真的测试完全由自己开发的软件。最后,把一连串的数字串放到你的开发团队创建的文件中。定期在Google代码搜索和其它搜索引擎中搜索这些数字串,看看你的代码是否会偷偷溜出你的机构。然后,如果这些字符串能够从你的机构溜出去,至少你的法律团队能够发现它并且同有关人员联系吧任何敏感的或者专有的信息从他们的服务器上删除。
[责任编辑:KV_ddvip]
本栏更新相关链接