在开发网络上保护源代码的最佳做法是什么？

对于某些问题，公司政策通常比技术解决方案更有效。但这并不意味着技术无法在帮助执行政策方面发挥作用。

我建议你看看Fortinet 的 Fortigate。它们有一些东西可以帮到你。它们可以隔离任何不符合你的政策（即补丁级别、A/V 等）的计算机。它还可以同时进行应用程序保护和数据泄漏预防。因此，你只需要设置一个数据泄漏预防规则来阻止任何类似代码的内容。因此，如果你的公司有一个放在文件顶部的标准标头，你可以查找它并阻止和报告它。如果你将 FortiClients 添加到组合中，你可以锁定本地计算机上的 USB 端口，并在每个客户端上实施防火墙、A/V、数据泄漏预防和入侵防御策略。

所以谈谈你的观点。

• 带有 VLAN 的防火墙应该能够解决您的第一点。
• Fortigate 还可以充当 VPN，因此这一点也非常简单。
• 某种类型的 VLAN 可以作为您的沙盒。
• ForitClient 与组策略和 Fortigate 结合您应该能够控制您需要的一切。
• 这个有点难处理。但公司政策规定不遵守这些政策将导致终止合同，这是最好的方法。然而，FortiClient 可以锁定 USB 端口，因此只要您充分锁定网络，这应该会为您提供所需的控制。
• 最后一点也更多的是一个政策问题。

嗯，这更多的是关于设计理念而不是实际架构的答案，但你似乎对想要实现的目标有一个不错的想法。我发现最好的做法是不仅要有书面政策，还要设计系统以使违反政策变得困难（如果不是不可能的话）。例如，如果只允许某些机器直接连接到关键服务器，那么就用 ACL 或服务器本地防火墙包围关键服务器，以仅允许来自这些机器的连接。

关于你的要点：

• 我建议不要允许不受限制的互联网访问。至少，使用防火墙强制代理要求或 WCCP。使用白名单默认拒绝是最好的。
• VPN 很棒如果你确实想要允许（或想要管理）来自网络外部的不受限制的访问；如果你真的只想允许特定类型的连接，那么我认为 VPN 有点过度，而且不必要地危险
• 我很喜欢为开发人员提供沙箱，我们的沙箱连接到单独的互联网接入，并且位于生产级防火墙的另一侧，与网络的其余部分隔开
• 在任何环境中，补丁和安全密码都应该是最低要求……
• 加密很好，但您需要管理加密方法，并注意避免失败；例如，当您绝对需要访问代码但拥有密码的人正在度假时会发生什么？如果您需要建议，请告诉我，我会添加我如何管理它...这有点复杂，但很有效。
• 您可能对最后一点的 NAC 类型的解决方案感兴趣，因为它是一种强制身份验证的方法，允许您审核谁在哪里复制了什么。您还可以执行诸如禁止 USB 设备之类的操作，事实证明 USB 设备对私人数据构成了真正的威胁

我有点困惑。您已经通过 VPN 连接到了安全网络，这意味着以下内容

1. 为需要访问两个网络的人员准备两台计算机。不必放在同一张桌子上。
2. 对于任何开发类型的工作，都需要 VPN 连接到安全网络。

源代码和所有开发工作都可以在安全网络上继续进行，并通过 RDP 进行，而终端位于外部网络上，并且可以并行运行其他工具。