如何保护代码java,如何保护代码产权

北大青鸟java培训：如何规范自己的代码编辑方式？

对于程序员来说，养成良好的代码写作能力是非常重要的。

创新互联是一家专注网站建设、网络营销策划、微信小程序定制开发、电子商务建设、网络推广、移动互联开发、研究、服务为一体的技术型公司。公司成立十年以来，已经为上千家成都混凝土搅拌机各业的企业公司提供互联网服务。现在，服务的上千家客户与我们一路同行，见证我们的成长；未来，我们一起分享成功的喜悦。

今天，我们就一起来了解一下，规范化的代码编写都有哪些要求。

希望通过对本文的阅读，能够提高大家对于代码规范的认识。

1.保证代码压缩后不出错对于大型的JSP项目，一般会在产品发布时对项目包含的所有JSP文件进行压缩处理，比如可以利用GoogleClosureCompilerService对代码进行压缩，新版jQuery已改用这一工具对代码进行压缩，这一般会去掉开发时写的注释，除去所有空格和换行，甚至可以把原来较长的变量名替换成短且无意义的变量名，这样做的目的是加快文件的下载速度，同时也减小网站访问带来的额外数据流量，另外在代码保护上也起到了一点点作用，至少压缩后的代码即使被还原还是没那么容易一下读懂的。

要想代码能正确通过压缩，一般要求语句都要以分号正常结束，大括号也要严格结束等，具体还要看压缩工具的要求。

所以如果一开始没有按标准来做，等压缩出错后再回去找错误那是浪费时间。

2.保证代码能通过特定IDE的自动格式化功能一般较为完善的开发工具(比如AptanaStudio)都有代码"自动格式"化功能，这一功能帮助实现统一换行、缩进、空格等代码编排，你可以设置自己喜欢的格式标准，比如左大括号{是否另起一行。

达到这个要求的目的在于方便你的开发团队成员拿你代码的一个副本用IDE自动格式化成他喜欢或熟悉的风格进行阅读。

你同事需要阅读你的代码，可能是因为你写的是通用方法，他在其它模块开发过程中也要使用到，阅读你的代码能深入了解方法调用和实现的细节，这是简单API文档不能达到的效果。

3.使用标准的文档注释这一要求算是基本的，这有利于在方法调用处看到方法的具体传参提示，也可以利用配套文档工具生成html或其它格式的开发文档供其他团队成员阅读，你可以尝试使用jsdoc-toolkit。

如果你自动生成的API是出自一个开放平台，就像facebook.com应用，那么你的文档是给天下所有开发者看的。

另外编写完整注释，也更方便团队成员阅读你的代码，通过你的参数描述，团队成员可以很容易知道你编写的方法传参与实现细节。

当然也方便日后代码维护，这样即使再大的项目，过了很长时间后，回去改点东西也就不至于自己都忘记了当时自己写的代码是怎么一回事了。

4.使用规范有意义的变量名使用规范有意义的变量名可以提高代码的可读性，作为大项目开发成员，自己写的代码不仅仅要让别人容易看懂。

电脑培训认为开发大项目，其实每个人写的代码量可能都比较大，规范命名，日后自己看回自己的代码也显的清晰易懂，比如日后系统升级或新增功能，修改起代码来也轻松多了。

如果到头发现自己当初写的代码现在看不太懂了，那还真是天大的笑话了。

Java代码保护

其实理论上，任何代码都能被反编译，你再好的混淆技术，也只是让代码变得复杂，不容易看懂，但肯定是有人能看懂，仅仅是时间花得更多。现在借助工具来整理线索很容易找出变量之间的关联而猜测出它的用途。如果你觉得C能保证安全水平更好，那可以加挂 Java 6 开始支持的 Instrument，它可以支持对 class 文件进行解密。我们在编译好代码后手工加密后这个 运行时的 instrument 能解密，而这部分功能用 dll 来做，不过，还是那句话，没有理论上不能被反编译破解的代码。

公司如何保护源代码不被员工泄漏？

您好。感谢您给我这次回答的机会。

首先，我认为这个有两种方法，看你怎么选。

第一种:

限制代码库只能在公司内网访问,公司之外怀能下载代码;

限制只能用公司的电脑下载代码、编写代码、提交代码;

限制访问代码库的权限，发人员不授予访问和自己不相关代码库的权限;

能访问代码的电脑上安装监控软件，号称可以监控所有员工活动;

设置公司网络防火墙，禁止访问github这样的开源网站;

把上面所有的规矩记录下来,教育员工知道，让他们签字画押必须遵守，钣者开除而且报警。

第二种:

招募受过良好教育、品行良好、专业团队工作经验的开发者;

对开发者友善，让他们不会对公司心怀怨恨;

把开发者的利益和公司利益关联起来,让他们不想为了蝇头小利牺牲公司利益。

其次，你可能不知道的东西。

1.绝大部分的公司（bat另说) 手中的源代码商业价值根本不高。

2.绝大部分的公司的源码质量都比不过github的哪些开源类库。

3.绝大部分的公司的源码都属于高度定制化的开发（就是换个公司，这个软件几乎就没有什么价值了）。

4.绝大部分的公司都不是靠“软件技术”赚钱的。

5.绝大部分的人都不会傻到直接把偷来的源码用于“商业活动”（非但不一定赚钱还可能吃官司,还不如去github上扒开源代码)

6."防御"的成本数倍于"重新开发一套"软件.

所以看淡一点源码，它在绝大多数公司中其实并不值”几个钱“虽然它的创造成本可能”很贵“。

所以说，这些东西掌握以后，就基本上不用担心代码被泄露了。

理论上做到公司电脑无法和外界连通，进出人员不得携带任何外设就可以彻底解决代码泄漏的问题。但是商业公司比较难做到。下面我们来的分析一下员工有没必要窃取代码，有没能力窃取到下完整的代码。

现在有一定规模的公司应用都是服务化的，不同的小组负责不同的服务，有各自的代码查看权限。所以一个或者几个程序员无法拿到全部代码。

超大规模的应用就更复杂了，有前台，中台，后台，APP等，架构也极其复杂，就算某个程序员获得到了全部代码，也没有能力搭建并运行起来。

小规模公司的代码基本都是业务逻辑代码，泄不泄漏可能也没有太大关系。

防止别人偷拿代码是很难的，倒不如加强企业文化，提高员工的职业素养。尊重是互相的，做到用人不疑，我想大部分人也不会以怨报德。

说说我们公司是怎么做的吧：

1. 封了百度文库、百度网盘、CSDN等网站

凡是能上传文件的网站，我们公司都封了，这样就防止员工把内部文件上传到这些网站被泄密。但是这样做的一个后果就是员工想查一些资料，在这些网站都打不开，只能用自己的手机去查了，造成了一些工作的不便。

2. 封了USB、蓝牙接口，以及光驱

凡是能从电脑上拷贝文件到外部的接口，我们公司都封了，这样员工就无法把公司的文件拷到外面了，避免了泄密。这样做的后果也给我们带来了一些工作上的不便。比如以前我们做蓝牙测试的时候，需要把测试的App拷贝到手机上旧非常困难。后来公司了解了我们的困难，允许我们提申请，经过上级领导的批准后，可以给电脑开通USB权限，但是拷贝的内容也是被公司监控，所以也只能拷贝需要的内容。申请的时候有选择开通的时间，到期后，USB权限自动关闭了。

3. 禁止将公司电脑带出公司

为了防止员工私下里想办法把公司电脑的文件拷走，公司禁止把电脑带出办公室。如果需要带电脑去客户那里，则需要向公司提出申请，申请的时候也要选择带出和带回的时间，这样基本上就杜绝了员工泄密的可能。如果员工在外出途中丢失了电脑，这就会成为一个大事件，会汇报到公司最高层，对员工个人的影响也很大。公司有一套流程专门应对这类事件。曾经我们公司有人带电脑去客户那里，跟客户吃饭喝醉了，打车回家把电脑弄丢了，引起了很大的后果，这个事经常会作为事例来教育全体员工。

4. 电脑里安装监控软件

公司的电脑里都安装有监控软件，网管可以监控到每一台电脑。员工在电脑上打印，发传真、发邮件这些活动都受到监控。打印机也能看到每个人打印、传真的内容。员工如果有泄密的行为都可以及时监控到。至于员工对着电脑拍照，公司应该也能检测到。所以公司的电脑不要做一些私人的事情，很容易被监控到。

5. 封了QQ、微信等可以传输文件的社交软件

QQ、微信这类可以传递文件的社交软件在公司的电脑上是不能安装的，也防止了员工通过这些软件把文件传输到外面。公司内部只能使用微软自带的聊天工具Lync，这个软件也不能传输文件，只能聊天。如果公司内部需要传输文件，只能用公司的服务器或者邮件。有些大的文件，只能尽量压缩，否则传输会非常不方便。

6. 禁止员工安装公司允许之外的软件

严格监控员工的软件安装列表。公司给出了允许安装的软件列表，超出范围的安装软件会被监控到，让员工删除掉。这样员工无法安装一些上传文件的软件了，防止泄密了。员工也不能随意从网络上下载安装文件，防止一些木马病毒藏在软件里，盗取公司文件。

公司防止员工泄密的手段是很多的，每年还要对员工进行安全教育，规范员工的行为。

虚拟化桌面服务器，使用虚拟桌面和瘦客户机，瘦客户机禁止usb存储。瘦客户机不能联网但可以连虚拟化服务器，服务器不能连外网。单独设立一台机器可以联网，也可以连接一台ftp虚拟机（虚拟化服务器中的FTP用于内外网共享文件），联网机器下载的东西了上传到ftp供其他桌面虚拟机使用。桌面虚拟机上传的文件需要管理员通过才能被这台外网机器看到下载。

1，不允许携带电子设备进入工作区域，进门经过金属探测。

2，公司电脑不允许连接外网。

3，封死USB等外设接口。

4，机箱锁死，防止拆硬盘。

5，安装摄像头对准每一个工位，一旦发现使用拍照设备等，进行相应处罚。

这几个只有一起用才能完全防止泄露，否则都有办法。

你去看看某研究院的一些规章。禁止笔记本等带入，不小心带入了，对不起，设备留置24小时，彻底格式化。手机，存储设备也一样禁止带入。开发机全部内网。没有WIFI，鼠标键盘全部有线，粘死。机箱上锁。USB等接口全部封掉。人员权限限制，绝大部分人员不能下载全部代码。

首先管理层面，领导要重视信息安全，然后按照iso27000系列信息安全标准去做。信息安全和物理安全是要互相配合的。办公区要根据安全级别设置不同的管理措施，信息资产要根据价值设置不同的标签，区分关键资产和非关键资产，另外信息资产只能有一个出口要经过审批后才能出去。技术层面的措施也可以用，但是不能乱用。另外开发环境安全可以参考15408的站点审查部分。

防止不了，有合作公司管理严格，我们都用手机拍照沟通，所以除非禁用手机和一切拍照设备，否则都给你拍出来。

我觉吧吧，关键是人。而不是制度。

这么说吧，光有源代码屁也不是。要是没人build都困难。别说上线和运行了。

所以，你要是选信任的人，而不是选信任的方法。那么就算别人真偷了，拿一堆源代码回去，都没办法build，有什么用？

反之，就算没有源代码。人家拍拍屁股走人。然后还他妈实现，你有什么办法？

北大青鸟设计培训：如何防止java编程语言序列化网络攻击？

java编程一直以来都是互联网软件开发市场上的主流开发语言，同样的这也就导致了只要发生漏洞的话，所有用java编程开发的软件都会出现问题，下面合肥java培训就一起来了解一下，java编程语言中的序列化问题应该如何解决。

什么是序列化?自从1997年发布JDK1.1以来，序列化已经存在于Java平台中。

它用于在套接字之间共享对象表示，或者将对象及其状态保存起来以供将来使用(反序列化)。

在JDK10及更低版本中，序列化作为java.base包和java.io.Serializable方法的一部分存在于所有的系统中。

序列化的挑战和局限序列化的局限主要表现在以下两个方面：出现了新的对象传输策略，例如JSON、XML、ApacheAvro、ProtocolBuffers等。

1997年的序列化策略无法预见现代互联网服务的构建和攻击方式。

进行序列化漏洞攻击的基本前提是找到对反序列化的数据执行特权操作的类，然后传给它们恶意的代码。

序列化在哪里?如何知道我的应用程序是否用到了序列化?要移除序列化，需要从java.io包开始，这个包是java.base模块的一部分。

常见的使用场景是：实现Serializable接口和(可选)serialversionuid长整型字段。

使用ObjectInputStream或ObjectOutputStream。

使用严重依赖序列化的库，例如：Xstream、Kryo、BlazeDS和大多数应用程序服务器。

使用这些方法的开发人员应考虑使用其他存储和读回数据的替代方法。

EishaySmith发布了几个不同序列化库的性能指标。

在评估性能时，需要在基准度量指标中包含安全方面的考虑。

默认的Java序列化“更快”一些，但漏洞也会以同样的速度找上门来。

我们该如何降低序列化缺陷的影响?项目Amber包含了一个关于将序列化API隔离出来的讨论。

我们的想法是将序列化从java.base移动到单独的模块，这样应用程序就可以完全移除它。

在确定JDK11功能集时并没有针对该提议得出任何结果，但可能会在未来的Java版本中继续进行讨论。

通过运行时保护来减少序列化暴露一个可以监控风险并自动化可重复安全专业知识的系统对于很多企业来说都是很有用的。

Java应用程序可以将JVMTI工具嵌入到安全监控系统中，通过插桩的方式将传感器植入到应用程序中。

其他有用的安全技术在进行维护时，可以不需要手动列出一长串东西，而是使用像OWASPDependency-Check这样的系统，它可以识别出已知安全漏洞的依赖关系，并提示进行升级。

也可以考虑通过像DependABot这样的系统进行库的自动更新。

虽然用意很好，但默认的Oracle序列化过滤器存在与SecurityManager和相关沙箱漏洞相同的设计缺陷。

因为需要混淆角色权限并要求提前了解不可知的事物，限制了这个功能的大规模采用：系统管理员不知道代码的内容，所以无法列出类文件，而开发人员不了解环境，甚至DevOps团队通常也不知道系统其他部分(如应用程序服务器)的需求。

如何利用DES加密的算法保护Java源代码

Java语言是一种非常适用于网络编程的语言，它的基本结构与C++极为相似，但抛弃了C/C++中指针等内容，同时它吸收了Smalltalk、C++面向对象的编程思想。它具有简单性、鲁棒性、可移植性、动态性等特点。这些特点使得Java成为跨平台应用开发的一种规范，在世界范围内广泛流传。 加密Java源码的原因 Java源代码经过编译以后在JVM中执行。由于JVM界面是完全透明的，Java类文件能够很容易通过反编译器重新转换成源代码。因此，所有的算法、类文件等都可以以源代码的形式被公开，使得软件不能受到保护，为了保护产权，一般可以有以下几种方法： (1)"模糊"类文件，加大反编译器反编译源代码文件的难度。然而，可以修改反编译器，使之能够处理这些模糊类文件。所以仅仅依赖"模糊类文件"来保证代码的安全是不够的。 (2)流行的加密工具对源文件进行加密，比如PGP(Pretty Good Privacy)或GPG(GNU Privacy Guard)。这时，最终用户在运行应用之前必须先进行解密。但解密之后，最终用户就有了一份不加密的类文件，这和事先不进行加密没有什么差别。 (3)加密类文件，在运行中JVM用定制的类装载器(Class Loader)解密类文件。Java运行时装入字节码的机制隐含地意味着可以对字节码进行修改。JVM每次装入类文件时都需要一个称为ClassLoader的对象，这个对象负责把新的类装入正在运行的JVM。JVM给ClassLoader一个包含了待装入类(例如java.lang.Object)名字的字符串，然后由ClassLoader负责找到类文件，装入原始数据，并把它转换成一个Class对象。 用户下载的是加密过的类文件，在加密类文件装入之时进行解密，因此可以看成是一种即时解密器。由于解密后的字节码文件永远不会保存到文件系统，所以窃密者很难得到解密后的代码。 由于把原始字节码转换成Class对象的过程完全由系统负责，所以创建定制ClassLoader对象其实并不困难，只需先获得原始数据，接着就可以进行包含解密在内的任何转换。 Java密码体系和Java密码扩展 Java密码体系(JCA)和Java密码扩展(JCE)的设计目的是为Java提供与实现无关的加密函数API。它们都用factory方法来创建类的例程，然后把实际的加密函数委托给提供者指定的底层引擎,引擎中为类提供了服务提供者接口在Java中实现数据的加密/解密，是使用其内置的JCE(Java加密扩展)来实现的。Java开发工具集1.1为实现包括数字签名和信息摘要在内的加密功能，推出了一种基于供应商的新型灵活应用编程接口。Java密码体系结构支持供应商的互操作,同时支持硬件和软件实现。 Java密码学结构设计遵循两个原则: (1)算法的独立性和可靠性。 (2)实现的独立性和相互作用性。 算法的独立性是通过定义密码服务类来获得。用户只需了解密码算法的概念,而不用去关心如何实现这些概念。实现的独立性和相互作用性通过密码服务提供器来实现。密码服务提供器是实现一个或多个密码服务的一个或多个程序包。软件开发商根据一定接口,将各种算法实现后,打包成一个提供器,用户可以安装不同的提供器。安装和配置提供器,可将包含提供器的ZIP和JAR文件放在CLASSPATH下,再编辑Java安全属性文件来设置定义一个提供器。Java运行环境Sun版本时, 提供一个缺省的提供器Sun。 下面介绍DES算法及如何利用DES算法加密和解密类文件的步骤。 DES算法简介 DES(Data Encryption Standard)是发明最早的最广泛使用的分组对称加密算法。DES算法的入口参数有三个：Key、Data、Mode。

如何有效的防止Java程序被反编译和破解

由于Java字节码的抽象级别较高，因此它们较容易被反编译。下面介绍了几种常用的方法，用于保护Java字节码不被反编译。通常，这些方法不能够绝对防止程序被反编译，而是加大反编译的难度而已，因为这些方法都有自己的使用环境和弱点。

1.隔离Java程序

最简单的方法就是让用户不能够访问到Java Class程序，这种方法是最根本的方法，具体实现有多种方式。例如，开发人员可以将关键的Java Class放在服务器端，客户端通过访问服务器的相关接口来获得服务，而不是直接访问Class文件。这样黑客就没有办法反编译Class文件。目前，通过接口提供服务的标准和协议也越来越多，例如 HTTP、Web Service、RPC等。但是有很多应用都不适合这种保护方式，例如对于单机运行的程序就无法隔离Java程序。

2.对Class文件进行加密

为了防止Class文件被直接反编译，许多开发人员将一些关键的Class文件进行加密，例如对注册码、序列号管理相关的类等。在使用这些被加密的类之前，程序首先需要对这些类进行解密，而后再将这些类装载到JVM当中。这些类的解密可以由硬件完成，也可以使用软件完成。

在实现时，开发人员往往通过自定义ClassLoader类来完成加密类的装载(注意由于安全性的原因，Applet不能够支持自定义的ClassLoader)。自定义的ClassLoader首先找到加密的类，而后进行解密，最后将解密后的类装载到JVM当中。在这种保护方式中，自定义的ClassLoader是非常关键的类。由于它本身不是被加密的，因此它可能成为黑客最先攻击的目标。如果相关的解密密钥和算法被攻克，那么被加密的类也很容易被解密。

3.转换成本地代码

将程序转换成本地代码也是一种防止反编译的有效方法。因为本地代码往往难以被反编译。开发人员可以选择将整个应用程序转换成本地代码，也可以选择关键模块转换。如果仅仅转换关键部分模块，Java程序在使用这些模块时，需要使用JNI技术进行调用。当然，在使用这种技术保护Java程序的同时，也牺牲了Java的跨平台特性。对于不同的平台，我们需要维护不同版本的本地代码，这将加重软件支持和维护的工作。不过对于一些关键的模块，有时这种方案往往是必要的。为了保证这些本地代码不被修改和替代，通常需要对这些代码进行数字签名。在使用这些本地代码之前，往往需要对这些本地代码进行认证，确保这些代码没有被黑客更改。如果签名检查通过，则调用相关JNI方法。

4.代码混淆

代码混淆是对Class文件进行重新组织和处理，使得处理后的代码与处理前代码完成相同的功能(语义)。但是混淆后的代码很难被反编译，即反编译后得出的代码是非常难懂、晦涩的，因此反编译人员很难得出程序的真正语义。从理论上来说，黑客如果有足够的时间，被混淆的代码仍然可能被破解，甚至目前有些人正在研制反混淆的工具。但是从实际情况来看，由于混淆技术的多元化发展，混淆理论的成熟，经过混淆的Java代码还是能够很好地防止反编译。下面我们会详细介绍混淆技术，因为混淆是一种保护Java程序的重要技术。