Domanda:
Un ex collega ha caricato il codice sorgente proprietario su GitHub: cosa fare?
Magnus Man
2017-05-18 05:23:51 UTC
view on stackexchange narkive permalink

Lavoro come ingegnere del software. Qualche anno fa facevo parte del team di sviluppo software, dove scrivevo codice per un sistema di back-office presso una banca.

Recentemente ho scoperto su GitHub che uno dei miei colleghi all'epoca caricava parti di codice che avevo scritto per la banca e avevo apportato alcune piccole modifiche con il rientro (gli spazi sono stati modificati in tabulazioni).

Sono stato avvisato da uno dei suoi attuali colleghi (in una nuova sede di lavoro, ma simile dominio del problema) e conoscenti reciproci, che sospettavano che qualcosa fosse successo (o non del tutto corretto) quando non era in grado di spiegare correttamente perché aveva scritto determinati pezzi di codice in un modo specifico durante una sessione di revisione del codice.

p> A questo punto che cosa dovrei fare?

Personalmente non voglio fare nulla perché non lavoro più a la banca in questione e inoltre non vedo alcun vantaggio dal mio punto di vista.

Ma allo stesso tempo non sono sicuro dei miei obblighi ora che sono stato informato della situazione, ho rivisto il codice e concluso le sue origini.

Hai ancora contatti informali / sociali con le persone in banca?
@PatriciaShanahan Mi tengo in contatto con alcuni colleghi una volta all'anno, ma questo è tutto.
Sei in contatto con il collega?
@MaskedMan Ho il suo indirizzo gmail, ma a parte questo non ho avuto contatti con lui da quando ho lasciato la banca.
Dovrebbe dire "ex collega" nel titolo.Sospetto che le risposte sarebbero diverse se tu lavorassi ancora lì e si trattasse di un collega attuale.
Non capisco bene la situazione.Dove è stato utilizzato il codice?È solo su GitHub?Allora perché è stato coinvolto in una revisione del codice nella nuova sede di lavoro?
Il tuo ex collega lavora ancora in banca?
Non sono sicuro di doverlo scrivere come risposta, ma considerando il contesto (banca) non sono assolutamente d'accordo con la risposta che dice di non fare nulla, perché davvero non vorrei sapere che questo usurpatore partecipa a scrivere qualcosa relativola mia banca.Questa è fondamentalmente la stessa filosofia di SO quando le persone non vogliono vedere un codice palesemente insicuro, "potrebbe essere copiato / incollato nel software che gestirà il tuo conto bancario".
@JonasPraem no, se n'è andato qualche anno fa, non sono neanche loro.Il problema è che carica il codice su GitHub, ma potrebbe anche utilizzarlo nei suoi nuovi luoghi di lavoro.
Cinque risposte:
Jack
2017-05-18 07:29:35 UTC
view on stackexchange narkive permalink

Non fare nulla.

È il suo problema e il problema della banca.

Il codice che hai scritto appartiene alla banca, non hai niente a che fare con questo problema. Lascia perdere e non cercare guai.

NON consultare un avvocato. Non è un tuo problema.

suona come un consiglio sano e sano - la mia unica preoccupazione è ciò che il conoscente comune sa che io so perché me ne ha parlato e il codice non è solo su GitHub, ma sembra che lo stia usando e altro codice almeno nel suoluogo di lavoro attuale.
@MagnusMan La tua conoscenza comune dovrebbe parlarne con il * suo * capo, non con te.Di nuovo, non è un tuo problema.
Kate Gregory
2017-05-18 16:47:57 UTC
view on stackexchange narkive permalink

A prima vista questo non è un tuo problema. Qualcuno che conosci vagamente ti ha detto che qualcun altro che conosci vagamente potrebbe aver fatto qualcosa che è per lo meno sbagliato, ma forse illegale. Se il tuo vicino ti dicesse che "il mio ex vicino dove vivevo totalmente [infrange una legge] tutto il tempo" non ti sentiresti in obbligo di telefonare alla polizia.

Tuttavia, c'è una ruga interessante qui che sei in grado di confermare che è il tuo codice , e inoltre che sei andato e l'hai fatto. Questo ti mette nella posizione di sapere che è successo qualcosa di sbagliato e forse illegale. Non so se questo ti imponga o meno un'imposizione legale. Mi sentirei come se dovessi almeno dirglielo al mio ex datore di lavoro. Non spenderei i miei soldi per un avvocato; questo è pazzesco. Ma vorrei contattare qualcuno in banca. Una rapida telefonata o e-mail in cui fornisci loro l'indirizzo del repository GitHub e dici loro cosa hai concluso: questo è il codice che hai scritto, con le tabulazioni modificate in spazi.

Quindi lavati le mani . La persona a cui lo riferisci potrebbe seguirlo oppure no. Il repo potrebbe scomparire oppure no. L'ex collega, che non sembra guadagnare molto affermando di aver scritto questo codice, dal momento che altri stanno capendo lo stratagemma abbastanza rapidamente, potrebbe "non lavorare mai più in questa città" o potrebbe continuare a mentire e imbrogliare per essere assunto, per qualsiasi motivo. Ma avrai fatto la tua parte. Non avrai aiutato il furto a stare zitto una volta che lo saprai.

E tieni un registro. Salva la tua email e tutte le risposte che ricevi. Oppure, se chiami, scrivi appunti (carta e penna o digitali) su chi hai chiamato, cosa hai detto loro, cosa hanno detto. Se c'è un po 'di avanti e indietro in risposta, aggiorna i tuoi appunti ogni volta che parli con qualcuno. Metti queste note in un posto sicuro. Se dovesse mai accadere che qualcun altro scopra il repo e ti accusi di essere il leaker, il bugiardo, l'imbroglione, vorrai essere in grado di dimostrare di averlo segnalato quando lo hai scoperto ed essere in grado di dire loro a chi lo hai segnalato .

quelli sono un eccellente set di raccomandazioni, ho scritto un record e ho fatto una copia del repo e l'ho archiviato e ho registrato un impegno dell'HMAC sulla blockchain di bitcoin tramite proofofexistence per dimostrare la time-line.
@MagnusMan Non pensi che sia un po 'estremo?
La dimensione "tenere un registro" è molto vera e manca nella maggior parte delle altre risposte.Poiché il codice è stato originariamente scritto da OP, è molto probabile che in futuro le dita vengano puntate contro di lui per questa fuga di notizie.
Leon
2017-05-18 11:44:54 UTC
view on stackexchange narkive permalink

Essenzialmente la proprietà delle banche, ovvero il codice proprietario (di cui nel contratto che avevi firmato presumo gli siano stati concessi pieni diritti) è stata rubata da qualcuno estraneo a te e pubblicata su un account github non correlato al tuo. Non vedo davvero perché questo dovrebbe preoccuparti o come può essere incriminante per te. Sentiti libero di informare (per iscritto) il rappresentante della banca di questo e lascia che lo risolvano nel modo che ritengono opportuno se la questione ti preoccupa e pensi che dovresti fare qualcosa al riguardo per essere coperto al 100%.

mxyzplk - SE stop being evil
2017-05-18 17:47:15 UTC
view on stackexchange narkive permalink

Non hai alcuna responsabilità specifica in questo caso.

Tuttavia, poiché questo è il tuo codice e sei consapevole che è stato rubato e pubblicato in questo modo, ti apre un po 'per essere visto come un partecipante se alla fine lo scoprono e indagano. Supponiamo che il tuo ex collega faccia il tuo nome per buttarti sotto l'autobus. "Be ', Magnus me l'ha dato e ha detto che andava bene riutilizzare / pubblicare ..." "I record di Github mostrano che hai avuto accesso a quel repo da solo ..." Non è tanto un obbligo legale quanto essere aperti a qualcuno che potrebbe metterti questo su di te e non ci sono molte prove in entrambi i casi.

Vorrei inviare una nota alla banca indicando ciò che hai visto (ehi, sembra che il codice che ho scritto per la banca nel corso della giornata sia ora su questo account github pubblico ) e registrando come se non avessi parte in esso (non ho nulla a che fare con questo e non so nulla delle circostanze, l'ho visto e volevo trasmetterlo), solo a CYA da ogni possibile intreccio in futuro . Significa che potrebbero cercare di ottenere più informazioni da te su "questo è il tuo codice, puoi giurarlo" ecc., Ma a cui puoi rispondere con "ehi, sembra, ma sono passati anni, tu Dovrai farlo tu stesso. "

Anche se questa è una buona risposta, cosa aggiunge effettivamente di nuovo rispetto alle altre?
L'intero concetto di dover evitare possibili colpe per il furto di codice?
Questo è un punto importante, ma è coperto dall'ultimo paragrafo della risposta di Kate, forse anche da alcuni degli altri ...
Sentiti libero e vota la tua coscienza allora.
Xavier J
2017-05-18 06:47:17 UTC
view on stackexchange narkive permalink

È il suo account GitHub, non il tuo. La colpevolezza indica lui.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...