データ損失の保護は、あらゆる業界の主要な関心事です。クライアントとソフトウェア開発チーム以外にも多数の関係者が関与しているため、ソフトウェアエンジニアリングプロセスには、潜在的なデータ損失の複数のポイントが含まれます。リストには、外部のテスト機関、他のソフトウェアベンダー、コンサルティング機関などが含まれる場合があります。要件分析ドキュメントからソースコードまで、すべてのソフトウェアアーティファクトには、クライアントが機密と見なす可能性のある情報が含まれています。
アプリケーションは、k-匿名性、L-多様性を使用してデータを保護するためにかなりの努力を重ねてきました。簡単な要約は ここ です
しかし、ソフトウェアアーティファクトに含まれる機密情報(-====-)(たとえば、分析ドキュメント、ソースコード、ドキュメントなど)を保護するために利用できるオプション/ベストプラクティス/ツールは何ですか?かなり構造化されていない形式ですか? (もちろんNDAと誠意を除いて...)
私は最近ブログを書いた クライアントのソースコードの扱い方 。基本的に、監査のバージョン管理、暗号化、そして暗号化。コンパイルされたアーティファクトは同じ暗号化されたファイルシステムに保存され、他のデバイスに移動する必要がある場合、利用可能な場所で暗号化され、使用されなくなったらすぐに削除されます。
同様の話がドキュメントにも当てはまります。私は一部のクライアントの脅威モデルに取り組んでおり、それらは上記とほぼ同じ方法で管理されています。
私が言っているのは、データ漏えいを止めるためのソフトウェアエンジニアリングツールに本質的なものは何もないということです。もちろん、適切なSCMインストールは機密データへのアクセスを制限および追跡できますが、チェックアウトされると、あなた自身の。一部のDLPソフトウェアは、ソースコードファイルを機密情報として扱うように構成できます。これは、チェックする価値があるかもしれません。ただし、コンサルタントまたは下請業者と協力している場合は、コンサルタントと契約を結んでおり、契約の条件に基づいて相互に容認できるレベルの検出/強制が行われます。