找回密码
 立即注册

QQ登录

只需一步,快速开始

lgz518

初级会员

16

主题

55

帖子

271

积分

初级会员

积分
271
lgz518
初级会员   /  发表于:2019-11-25 22:11  /   查看:7387  /  回复:13
请活字格加强,提高项目的安全?
发现有下面安全问题
1.工程安全,现在活字格工程是开源,只要有设计器,就是可以打开工程,上次,有提议,包括在论坛上看,也有人提,但还没有改进,只讲:
A,用压缩文件加密, B,还活字格内保存发布加密,但试一下,并没有效果,而且是显码录入。
注:这个安全很重要,保护开发者的成果,还有,活字格提供多人协作,更要保护,避免离职人不友好的修改或**。
2.还是数据在导出导入应可以多种格式,还是有权限,加密,比如哪些只能导出哪些字段,及导出不能修改,比单价这种敏感数据不让看,在系统能体现,但导出没限制就全露。
3.在服务器更新,和维护有一个,盖掉数据库这个项,没有加提示确认,可能手一动,不小心就盖了,那会发生很**烦,其实,可以这么做,先要求备份,没备份不能执行,再执行盖,更新。
4. 官方是专业,应考虑更多?不要让我们小白,去百度,找折中的方法。
最后,这些安全,请官方尽快补上,安全不能等,谢谢

评分

参与人数 1满意度 +5 收起 理由
swejet + 5

查看全部评分

13 个回复

倒序浏览
unimaallan
金牌服务用户   /  发表于:2021-7-27 21:35:03
推荐
nunaleon2003 发表于 2021-7-23 17:41
第三点不能这么类比。传统的代码开发时比较复杂的,即使一个人把整个代码拿出去了,也基本上玩不转;因为 ...

其实这事官方一直在回避,老是拿活字格自已的开发来作比喻,其实我看着真的都不想回这个,看这位兄弟讲了这么多,顶一下吧,用活字格平台开发和开发活字平台,完全是两个不同的事,完全没有可比性,活字格平台的代码就是别人复制出来,也没有用,不是一个两个人能玩得转的,再说即使玩转了,敢出来销售吗,用活字格平台开发的就不一样了,公司开发再好的产品,一个稍稍明白一点的员工,复制出来,做一个公司就是他的产品,你去维权吧,根本不可能,所以要想软件公司用活字格活的长久点,官方真的要想想招了
回复 使用道具 举报
Simon.hu讲师达人认证 悬赏达人认证 活字格认证
超级版主   /  发表于:2019-11-26 13:54:20
沙发
本帖最后由 Simon.hu 于 2019-11-26 13:55 编辑

我的回复:
1.工程安全

A,你将你的工程文件压缩成压缩文件,然后给压缩文件加密即可;
(我一般是推荐大家自己学习有独立解决问题的能力,这次帮你在百度一下,请查收:https://jingyan.baidu.com/article/4b07be3c906a6f48b280f361.html
B,这个我已经给了教程:https://gcdn.grapecity.com.cn/fo ... 8202&extra=page%3D1
C,多人协助保密,这个本来就是靠公司跟员工签署保密协议来控制的,你就是写代码,代码也有可能被人偷走啊?

2.导出的时候,如果您设置的数据的权限,导出是不会将没有权限的数据导出的

3.发布覆盖数据的这个,默认本来就是不勾选的


4.官方是专业的,不过官方能够管的就跟开发工具提供商一样,有一些问题真的不是从产品层面能解决的问题


我们这边有很多的伙伴的已经使用活字格交付了很多的项目了,大家做项目交付项目凭的是诚信和诚意,我觉得你可以做一个项目试试,交付一个试试
可能有的问题,只是你猜测出来的呢?也说不定

再不济我们也支持同您一起申请联合著作权,然后咱单独签署协议说明这个版权是属于您的呢

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复 使用道具 举报
nunaleon2003
初级会员   /  发表于:2021-7-23 17:41:40
板凳
Simon.hu 发表于 2019-11-26 13:54
我的回复:
1.工程安全

第三点不能这么类比。传统的代码开发时比较复杂的,即使一个人把整个代码拿出去了,也基本上玩不转;因为项目复杂,且前后端分离,还有部署的麻烦事情。但是活字格整个开发和部署简单化,修改也简单,一个人离职后,很可能把公司的成果稍微改下,就能卖给客户或者竞争对手。这个确实要重视。加密工程也是有点鸡肋,哎。项目安全确实要多重视
回复 使用道具 举报
Joe.xu讲师达人认证 悬赏达人认证 活字格认证
超级版主   /  发表于:2021-7-26 19:01:27
地板
nunaleon2003 发表于 2021-7-23 17:41
第三点不能这么类比。传统的代码开发时比较复杂的,即使一个人把整个代码拿出去了,也基本上玩不转;因为 ...

相对于传统代码开发来说,活字格确实降低了开发难度,所以安全方面成为了一个比较重要的问题,
那我之前写代码的经历来说,公司一般是挡不住员工拿走代码的,而且一个员工懂得所有的代码逻辑是有难度,但要项目在别的地方跑起来不成问题,甚至联合几个人整个代码都不成问题。
所以之前公司为了防止信息泄露,一般都是采用内网开发,邮箱等通讯工具全部屏蔽,U盘拷贝也限制才有可能完全杜绝这种问题。不过您的反馈确实加深了我们的思考,作为简单易用的低代码开发工具,
可能需要指定安全可行的防泄漏方案。
感谢您的反馈与支持~
回复 使用道具 举报
nunaleon2003
初级会员   /  发表于:2021-7-27 10:02:34
5#
Joe.xu 发表于 2021-7-26 19:01
相对于传统代码开发来说,活字格确实降低了开发难度,所以安全方面成为了一个比较重要的问题,
那我之前 ...

是的,传统研发模式,我们不怕一般人拿走,因为他一个人搞不定所有项目的事情,所以没法直接拿出去卖给客户或竞争对手,因为到时修改是很费时间或精力的。现在活字格项目,一个人就可以搞定所有事情,所以项目较容易拿出去转卖。需要加强项目源码安全的考虑和实现
回复 使用道具 举报
Joe.xu讲师达人认证 悬赏达人认证 活字格认证
超级版主   /  发表于:2021-7-27 18:39:09
6#
nunaleon2003 发表于 2021-7-27 10:02
是的,传统研发模式,我们不怕一般人拿走,因为他一个人搞不定所有项目的事情,所以没法直接拿出去卖给客 ...

感谢您的反馈,我们也在着手进行安全方面的加强,如果大佬有更深层次的建议也可以告知我们哦
回复 使用道具 举报
nunaleon2003
初级会员   /  发表于:2021-7-28 09:25:48
8#
Joe.xu 发表于 2021-7-27 18:39
感谢您的反馈,我们也在着手进行安全方面的加强,如果大佬有更深层次的建议也可以告知我们哦

文件和文件夹支持加密码(工程创建者或管理员角色设置密码),需要密码才可以查看和导入;但是没有密码可以内部调用;工程加密支持取消和重新加密。这两块做好,基本上能满足我们的需求
回复 使用道具 举报
swejet悬赏达人认证 活字格认证
论坛元老   /  发表于:2021-7-28 11:47:15
9#
nunaleon2003 发表于 2021-7-28 09:25
文件和文件夹支持加密码(工程创建者或管理员角色设置密码),需要密码才可以查看和导入;但是没有密码可以 ...

文件和文件夹加密码这个思路好
回复 使用道具 举报
Simon.hu讲师达人认证 悬赏达人认证 活字格认证
超级版主   /  发表于:2021-7-28 17:56:18
10#
没有密码可以内部调用是什么意思啊?
请大佬指点一下
回复 使用道具 举报
12下一页
您需要登录后才可以回帖 登录 | 立即注册
返回顶部