Бывший коллега загрузил проприетарный исходный код на GitHub — что делать? [закрыто]

Я работаю инженером-программистом. Несколько лет назад я был частью команды разработчиков программного обеспечения, где писал код для бэк-офисной системы в банке.

Недавно я обнаружил на GitHub, что один из моих коллег в то время загрузил части кода, которые я написал для банка, и внес небольшие изменения в отступы (заменил пробелы на табуляции).

Меня предупредил об этом один из его нынешних сотрудников (на новом месте работы, но в той же проблемной области) и общий знакомый, который заподозрил неладное (или не совсем то), когда не смог толком объяснить, почему он написал определенные фрагменты кода определенным образом во время сеанса проверки кода.

В этот момент что мне делать ?

Я лично вообще ничего не хочу делать, так как больше не работаю в рассматриваемом банке, а также не вижу плюсов с моей точки зрения.

Но в то же время я не уверен в своих обязательствах теперь, когда меня проинформировали о ситуации, я просмотрел код и пришел к выводу о его происхождении.

У вас все еще есть какие-либо неформальные/социальные контакты с людьми в банке?
@PatriciaShanahan Я поддерживаю связь с некоторыми коллегами раз в год, но на этом все.
Вы поддерживаете связь с коллегой?
@MaskedMan У меня есть его адрес Gmail, но кроме этого я не связывался с ним с тех пор, как покинул банк.
В заголовке должно быть написано "бывший коллега". Я подозреваю, что ответы были бы другими, если бы вы все еще работали там, и это был нынешний сотрудник.
Я не совсем понимаю ситуацию. Где использовался код? Это только на GitHub? Тогда зачем было заниматься код-ревью на новом месте работы?
Ваш бывший коллега все еще работает в банке?
Я не уверен, что должен написать это как ответ, но, учитывая контекст (банк), я категорически не согласен с ответом, говорящим ничего не делать, потому что я действительно не хотел бы знать, что этот узурпатор участвует в написании чего-либо, связанного с мой собственный банк. В основном это та же философия, что и в SO, когда люди не хотят видеть вопиюще небезопасный код, «его можно скопировать/вставить в программное обеспечение, которое будет управлять вашим банковским счетом».
@JonasPraem нет, он ушел несколько лет назад - я тоже не их. Проблема в том, что он загружает код на GitHub, но может также использовать его на своем новом месте работы.

Ответы (5)

На первый взгляд это не ваша проблема. Кто-то, кого вы смутно знаете, сказал вам, что кто-то еще, кого вы смутно знаете, мог сделать что-то по меньшей мере неправильное, но, возможно, незаконное. Если бы ваш сосед сказал вам, что «мой бывший сосед, где я жил, полностью [нарушает закон] все время», вы не чувствовали бы себя обязанным звонить в полицию.

Тем не менее, здесь есть интересная особенность, что вы можете подтвердить, что это ваш код , и, кроме того, что вы пошли и сделали это. Это ставит вас в положение, когда вы знаете, что произошло что-то неправильное и, возможно, незаконное. Я не знаю, налагает ли это на вас юридические обязательства или нет. Я чувствовал бы себя обязанным перед своим бывшим работодателем хотя бы сказать им. Я бы не стала тратить собственные деньги на адвоката; это безумие. Но я бы связался с кем-нибудь в банке. Быстрый телефонный звонок или электронное письмо, в котором вы даете им адрес репозитория GitHub и сообщаете им, что вы пришли к выводу — это код, который вы написали, с заменой табуляции на пробелы.

Затем вымойте руки. Человек, которому вы сообщаете об этом, может принять меры по этому поводу, а может и нет. Репо может исчезнуть, а может и нет. Бывший коллега, который, кажется, мало что выигрывает, утверждая, что написал этот код, поскольку другие довольно быстро разбираются в уловке, может «никогда больше не работать в этом городе» или может продолжать лгать и жульничать, чтобы получить работу по любым причинам. Но вы сделаете свою часть. Вы не поможете краже, если будете молчать, как только узнаете.

И вести запись. Сохраните вашу электронную почту и все, что вы получите в ответ. Или, если вы звоните, записывайте записи (ручкой и бумагой или в электронном виде) о том, кому вы звонили, что вы им сказали, что они сказали. Если в ответ кто-то ходит туда-сюда, обновляйте свои заметки каждый раз, когда разговариваете с кем-либо. Положите эти заметки в безопасное место. Если когда-нибудь случится так, что кто-то другой обнаружит репозиторий и обвинит вас в утечке, лжеце, мошеннике, вы захотите показать, что вы сообщили об этом, когда узнали, и иметь возможность сообщить им, кому вы сообщили об этом. .

это отличный набор рекомендаций, я написал запись, сделал копию репо, заархивировал ее и зарегистрировал обязательство HMAC в цепочке блоков биткойнов с помощью доказательства существования, чтобы подтвердить временную шкалу.
@MagnusMan Тебе не кажется, что это немного экстремально?
Измерение «вести запись» очень верно и отсутствует в большинстве других ответов. Поскольку код изначально написан OP, весьма вероятно, что в будущем на него укажут пальцем за эту утечку.

Ничего не делай.

Это его проблема и проблема банка.

Код, который вы написали, принадлежит банку, вы не имеете к этому вопросу никакого отношения. Забудьте об этом и не ищите неприятностей.

НЕ консультируйтесь с юристом. Это не ваша проблема.

это звучит как разумный и здравый совет - меня беспокоит только то, что общий знакомый знает, что я знаю, потому что он рассказал мне об этом, и код не только на github, но и что он, кажется, использует его и другой код, по крайней мере, в его текущее место работы.
@MagnusMan Ваш общий знакомый должен обсудить это со своим боссом, а не с вами. Опять же, это не ваша проблема.

По сути, собственность банка, также известная как собственный код (на который, как я полагаю, в подписанном вами контракте были предоставлены им полные права) была украдена у них кем-то, не связанным с вами, и размещена на не связанной с вами учетной записи github. Я действительно не понимаю, почему это должно вас волновать или как это может быть уличающим вас. Не стесняйтесь сообщить (письменно) об этом представителю банка, и пусть они разбираются, как они считают нужным, если этот вопрос вас беспокоит, и вы считаете, что должны что-то предпринять, чтобы покрыть его на 100%.

В этом случае вы не несете какой-либо конкретной ответственности.

Однако, поскольку это ваш код, и вы знаете, что он был украден и опубликован таким образом, он немного открывает вас для того, чтобы вас считали его участником, если они в конечном итоге узнают и расследуют. Скажем, ваш бывший коллега упоминает ваше имя, чтобы бросить вас под автобус. «Ну, Магнус дал мне это и сказал, что можно повторно использовать/опубликовать…» «Записи Github показывают, что вы сами обращались к этому репозиторию…» и в любом случае не так уж много доказательств.

Я бы отправил в банк записку с указанием того, что вы видели (эй, кажется, код, который я написал для банка в тот день, теперь находится в этой общедоступной учетной записи github) и зафиксировал бы, что не причастен к этому (мне нечего сказать). делать с ним и ничего не знаю об обстоятельствах, просто увидел и хотел передать), просто в CYA от любых возможных затруднений в будущем. Это означает, что они могут попытаться получить от вас больше информации о том, "это ваш код, можете ли вы поклясться в этом" и т. д., но на что вы можете ответить: "Эй, похоже на то, но прошли годы, вы придется заняться этим самостоятельно».

Хотя это хороший ответ, что он на самом деле добавляет нового по сравнению с другими?
Вся концепция необходимости избежать возможной вины за кражу кода?
Это важный момент, но он описан в последнем абзаце ответа Кейт, а может быть, и в некоторых других...
Тогда не стесняйтесь и голосуйте за свою совесть.

Это его аккаунт на GitHub, а не ваш. Виновность указывает на него.

Бывший коллега загрузил проприетарный исходный код на GitHub — что делать? [закрыто]
СпросиСетьПолитика конфиденциальности1y, 0v