软件构件中的数据丢失保护

Question

数据丢失保护是每个行业关注的一个主要问题。软件工程过程涉及到潜在数据丢失的多个点，因为除了客户端和软件开发团队之外，还涉及多个方面。该列表可能包括外部测试机构、其他软件供应商、咨询机构等。从需求分析文档到源代码等，所有软件构件都包含客户可能认为敏感的信息。

在保护应用程序生成的数据方面做出了相当大的努力，使用k-匿名、L-多样性。一个简单的总结是这里

但是，在保护软件构件(例如，分析文档、源代码、文档等)中的敏感信息(例如，分析文档、源代码、文档等)的非结构化格式中，有哪些选项/最佳实践/工具可用？(当然，除了NDA和诚意.)

Answer 1

我最近在博客上提到了我如何处理我客户的源代码。本质上:版本控制用于审计，加密用于，嗯，加密。编译后的工件存储在相同的加密文件系统上，如果它们必须进入其他设备，则在可用的地方进行加密，并在未使用时立即删除。

文档中也有类似的情况:我为一些客户开发了威胁模型，它们的管理方式与前面描述的基本相同。

我想我要说的是，软件工程工具实际上没有任何东西可以阻止数据泄漏，当然，良好的SCM安装可以限制和跟踪那些访问机密数据的用户，但是一旦检查出来，您就只能靠自己了。一些DLP软件可以配置为将源代码文件视为机密文件，这可能值得检查。但是，如果你与顾问或分包商合作，那么你就与他们签订了一份合同，而且根据合同条款，任何级别的检测/执行都是可以接受的。