Ehemaliger Kollege hat proprietären Quellcode auf GitHub hochgeladen – was tun? [abgeschlossen]

Ich arbeite als Softwareentwickler. Vor einigen Jahren war ich Teil des Softwareentwicklungsteams, wo ich Code für ein Backoffice-System bei einer Bank schrieb.

Kürzlich entdeckte ich auf GitHub, dass einer meiner damaligen Kollegen Teile des Codes hochgeladen hatte, den ich für die Bank geschrieben hatte, und einige geringfügige Änderungen mit Einrückungen vorgenommen hatte (Leerzeichen in Tabulatoren geändert).

Ich wurde von einem seiner derzeitigen Kollegen (an einem neuen Arbeitsplatz, aber in einem ähnlichen Problembereich) und einem gemeinsamen Bekannten darauf aufmerksam gemacht, der vermutete, dass etwas nicht stimmte (oder nicht ganz richtig war), obwohl er nicht in der Lage war, richtig zu erklären, warum er es getan hatte während einer Codeüberprüfungssitzung bestimmte Codeteile auf eine bestimmte Weise geschrieben haben.

Was soll ich an dieser Stelle tun ?

Ich persönlich möchte gar nichts machen, da ich nicht mehr bei der betreffenden Bank arbeite und auch aus meiner Sicht keine Vorteile sehe.

Aber gleichzeitig bin ich mir meiner Verpflichtungen nicht sicher, nachdem ich über die Situation informiert wurde und den Kodex überprüft und seine Ursprünge geschlossen habe.

Haben Sie noch informelle/soziale Kontakte zu Menschen in der Bank?
@PatriciaShanahan Ich stehe einmal im Jahr mit einigen Kollegen in Kontakt, aber das war es auch schon.
Hast du Kontakt zum Kollegen?
@MaskedMan Ich habe seine Gmail-Adresse, aber ansonsten hatte ich keinen Kontakt mehr mit ihm, seit ich die Bank verlassen habe.
Sollte im Titel "ehemaliger Kollege" stehen. Ich vermute, die Antworten wären anders, wenn Sie noch dort arbeiten würden und es ein aktueller Kollege wäre.
Ich verstehe die Situation nicht ganz. Wo wurde der Code verwendet? Ist es nur auf GitHub? Warum war es dann an der neuen Arbeitsstelle in eine Code-Überprüfung involviert?
Arbeitet Ihr Ex-Kollege noch bei der Bank?
Ich bin mir nicht sicher, ob ich dies als Antwort schreiben sollte, aber angesichts des Kontexts (Bank) stimme ich der Antwort, nichts zu tun, entschieden zu, weil ich wirklich nicht wissen möchte, dass dieser Usurpator daran teilnimmt, etwas zu schreiben meine eigene Bank. Dies ist im Grunde die gleiche Philosophie bei SO, wenn die Leute keinen blatlantischen unsicheren Code sehen wollen, "er könnte in die Software kopiert/eingefügt werden, die Ihr Bankkonto verwaltet".
@JonasPraem nein, er ist vor ein paar Jahren gegangen - ich bin auch nicht ihr. Das Problem ist, dass er Code auf GitHub hochlädt, ihn aber möglicherweise auch an seinen neuen Arbeitsplätzen verwendet.

Antworten (5)

Oberflächlich betrachtet ist das nicht Ihr Problem. Jemand, den Sie vage kennen, hat Ihnen gesagt, dass jemand anderes, den Sie vage kennen, etwas getan haben könnte, das zumindest falsch, aber möglicherweise illegal ist. Wenn Ihr Nachbar Ihnen sagen würde, dass „mein ehemaliger Nachbar, in dem ich früher gewohnt habe, die ganze Zeit [gegen ein Gesetz verstößt]“, würden Sie sich nicht verpflichtet fühlen, die Polizei anzurufen.

Hier gibt es jedoch eine interessante Falte, dass Sie bestätigen können, dass es sich um Ihren Code handelt , und außerdem, dass Sie das getan haben. Dadurch wissen Sie, dass etwas Falsches und möglicherweise Illegales passiert ist. Ich weiß nicht, ob das eine rechtliche Verpflichtung für Sie darstellt oder nicht. Ich würde meinen, ich wäre es meinem ehemaligen Arbeitgeber schuldig, es ihnen zumindest zu sagen. Ich würde mein eigenes Geld nicht für einen Anwalt ausgeben; das ist verrückt. Aber ich würde mich an jemanden bei der Bank wenden. Ein kurzer Anruf oder eine E-Mail, in der Sie ihnen die GitHub-Repo-Adresse mitteilen und ihnen mitteilen, was Sie zu dem Schluss gekommen sind – dies ist der Code, den Sie geschrieben haben, wobei die Tabulatoren in Leerzeichen geändert wurden.

Dann wasche deine Hände davon. Die Person, der Sie es melden, kann es weiterverfolgen oder auch nicht. Das Repo kann verschwinden oder auch nicht. Der ehemalige Kollege, der mit der Behauptung, diesen Code geschrieben zu haben, nicht viel zu gewinnen scheint, da andere den Trick ziemlich schnell durchschauen, wird möglicherweise "nie wieder in dieser Stadt arbeiten" oder weiterhin lügen und betrügen, um dies zu tun eingestellt werden, aus welchen Gründen auch immer. Aber Sie werden Ihren Teil getan haben. Sie werden dem Diebstahl nicht geholfen haben, indem Sie geschwiegen haben, sobald Sie es wissen.

Und Aufzeichnungen führen. Speichern Sie Ihre E-Mail und alle Antworten, die Sie erhalten. Oder wenn Sie anrufen, machen Sie sich Notizen (Stift und Papier oder digital), darüber, wen Sie angerufen haben, was Sie ihnen gesagt haben, was sie gesagt haben. Wenn es als Antwort ein Hin und Her gibt, aktualisieren Sie Ihre Notizen jedes Mal, wenn Sie mit jemandem sprechen. Bewahren Sie diese Notizen an einem sicheren Ort auf. Sollte es jemals passieren, dass jemand anderes das Repo entdeckt und Sie beschuldigt, der Leaker, Lügner oder Betrüger zu sein, möchten Sie nachweisen können, dass Sie es gemeldet haben, als Sie es herausgefunden haben, und ihnen mitteilen können, wem Sie es gemeldet haben .

Das sind ausgezeichnete Empfehlungen, ich habe eine Aufzeichnung geschrieben und eine Kopie des Repos gemacht und archiviert und eine Verpflichtung des HMAC auf der Bitcoin-Blockkette über einen Existenznachweis registriert, um die Zeitlinie zu beweisen.
@MagnusMan Du denkst nicht, dass das ein bisschen extrem ist?
Die Dimension "Aufzeichnung führen" ist sehr wahr und fehlt in den meisten anderen Antworten. Da der Code ursprünglich von OP geschrieben wurde, ist es sehr wahrscheinlich, dass in Zukunft wegen dieses Leaks mit dem Finger auf ihn gezeigt wird.

Nichts tun.

Es ist sein Problem und das Problem der Bank.

Der Code, den Sie geschrieben haben, gehört der Bank, Sie haben mit diesem Problem nichts zu tun. Vergiss es und suche nicht nach Ärger.

KEINEN Anwalt konsultieren. Es ist nicht Ihr Problem.

das klingt nach einem vernünftigen und vernünftigen Ratschlag - meine einzige Sorge ist, dass der gemeinsame Bekannte weiß, dass ich weiß, weil er mir davon erzählt hat und der Code nicht nur auf Github ist, sondern dass er ihn und anderen Code zumindest in seinem zu verwenden scheint aktueller Arbeitsplatz.
@MagnusMan Dein gemeinsamer Bekannter sollte das mit seinem Chef besprechen , nicht mit dir. Auch hier ist es nicht Ihr Problem.

Im Wesentlichen wurde das Eigentum der Bank, auch bekannt als proprietärer Code (von dem Sie in dem von Ihnen unterzeichneten Vertrag meiner Meinung nach die vollen Rechte erhalten haben), von jemandem gestohlen, der nichts mit Ihnen zu tun hat, und auf einem Github-Konto veröffentlicht, das nichts mit Ihnen zu tun hat. Ich verstehe wirklich nicht, warum Sie das beunruhigen sollte oder wie es für Sie belastend sein kann. Informieren Sie den Vertreter der Bank (schriftlich) darüber und lassen Sie ihn die Angelegenheit so regeln, wie er es für richtig hält, wenn Sie diese Angelegenheit beunruhigt und Sie der Meinung sind, dass Sie etwas dagegen unternehmen sollten, um zu 100 % abgedeckt zu sein.

Sie haben in diesem Fall keine besondere Verantwortung.

Da dies jedoch Ihr Code ist und Sie sich dessen bewusst sind, dass er gestohlen und auf diese Weise veröffentlicht wurde, öffnet es Sie ein wenig dafür, als Teilnehmer daran gesehen zu werden, wenn sie es schließlich herausfinden und untersuchen. Nehmen wir an, Ihr ehemaliger Kollege erwähnt Ihren Namen, um Sie unter den Bus zu werfen. "Nun, Magnus hat es mir gegeben und gesagt, es sei in Ordnung, es wiederzuverwenden/zu posten ..." "Github-Aufzeichnungen zeigen, dass Sie selbst auf dieses Repo zugegriffen haben ..." Es ist nicht so sehr eine rechtliche Verpflichtung, sondern jetzt offen für jemanden, der dies möglicherweise auf Sie überträgt und es gibt so oder so nicht viele Beweise.

Ich würde eine Notiz an die Bank schicken, in der steht, was Sie gesehen haben (hey, es scheint, als ob der Code, den ich damals für die Bank geschrieben habe, jetzt auf diesem öffentlichen Github-Konto ist) und als nicht daran beteiligt protokolliert wird (ich habe nichts zu tun damit machen und nichts über die Umstände wissen, nur gesehen und weitergeben wollen), nur an CYA von eventuellen Verstrickungen in der Zukunft. Es bedeutet zwar, dass sie versuchen, mehr Informationen aus dir herauszuholen, etwa „Ist das dein Code, kannst du darauf schwören“ usw., aber dass du darauf antworten kannst mit „Hey, es sieht so aus, aber es ist Jahre her, du dem musst du selbst nachgehen."

Obwohl dies eine gute Antwort ist, was fügt es im Vergleich zu den anderen tatsächlich hinzu, was neu ist?
Das gesamte Konzept, mögliche Schuld für den Code-Diebstahl zu vermeiden?
Das ist ein wichtiger Punkt, aber er wird im letzten Absatz von Kates Antwort behandelt, vielleicht auch in einigen anderen ...
Fühlen Sie sich frei und wählen Sie Ihr Gewissen dann.

Es ist sein GitHub-Konto, nicht Ihres. Schuld deutet auf ihn hin.

Ehemaliger Kollege hat proprietären Quellcode auf GitHub hochgeladen – was tun? [abgeschlossen]
AntwortenHierDatenschutz-Bestimmungen1y, 0v