先讲一句扎心的大实话。
源码代购这事儿,十个人里八个踩过坑,剩下两个是还没开始。
我正是那八个当中的一个。
花一元,不对,是三百块,买了个“尚不完全的成品”。
运行起来到处都是漏洞,补都补不完。
最绝的是售卖者直接消失,「消息已发出,但被对方拒收了」。
气得一整晚没睡。
后来查了一圈,呵呵,我这种几百块的还算轻的。
有人花几十块买源码搞商业,三年后被起诉,赔了几千。
所以别看别人低价捡漏你就红眼。
坑,在后面等着呢。
## 源码交易本身违法吗
先给你吃颗定心丸:合法,但看你怎么做。
源码交易本身是中立的资源流转,不直接违法。
但合法性取决于标的来源和用途。
你要是买卖原创且拥有完整知识产权的代码,妥妥正当;
盗取公司代码卖、买侵权源码商用,那必踩法律红线。
还有专门交易涉黄、赌博、非法虚拟币源码的,那就是犯罪了。
别以为花几十块钱在闲鱼买套商城源码,房东就管不着。
法官可不这么看。
## 可怕的闲鱼诱惑与私下转账
我就是在闲鱼栽的跟头。
卖家所挂出的商城源码,其演示站看起来特别像样,支付接口以及功能,书写得密密麻麻的。
他说平台不方便聊天,微信聊。
我没多想,真加了。
定金过去,等了三天。
发了十几次「在吗?代码啥时候发?」。
全石沉大海。
然后看到那个红色感叹号。
头像从普通图,换成了灰鸽子的侧面。
一万块,买了个红色感叹号加删除。
这东西叫啥?叫教训。
所以第一条规矩:打死不私下转账。
这句话喊了800遍,每年中招的依然成串。
那些让你加微信、绕过平台打钱的,一律当骗子,不用犹豫。
没有担保平台,你连跟骗子说理的资格都没有。
## 低价源码买不得
闲鱼上29.9元的股票系统,我见过最离谱的。
数据库密码直接明文写在配置文件里。
那些号称金融源码的,八成是残端修改,后门多到你数不过来。
稍微有点样子的,像多语言量化系统,五位数起步才正常。
企业级供应链金融系统,六位数都不算夸张。
几十块能买到好源码?你敢信?
卖家为啥要卖?因为他自己都不敢用在项目上。
或者更可怕——他卖的就是有后门的,等着你部署后盗数据。
有些TP钱包的源码更为狠辣,在私钥生成的地方存在着怪异的连接,这等于是别人家的钱包。
你往里充值,别人直接一键清空。
所以别贪小便宜。
贪小便宜的人,最后都成了大怨种。
## 靠谱的平台到底有哪些
一个月后被骗,继而心里生出不甘之意,随后耗费了一整个月,将市面上能够说出名字的平台逐个进行了尝试。
说说我认为靠谱的。
助力企业的商城,安稳妥当,具备全品类商品,具备自动发货功能,拥有售后团队,购买之前能够查看演示站点,若不满意可以进行更换。
我有个坏了的,人家第二天给修好了。
宽松源码的站点之处,具备着交易清晰透明度,产生扯皮状况较少,其评价体系具备强大稳固性,致使有着诸多售卖人士在行为举措上不敢肆意妄为。
春哥技术博客,此人看上去并非单纯以售卖货物为目的,反倒更像是一个正规的技术交流社区,其自主研发的系统能够提供终身免费升级服务,对于那些有疑问而发布帖子的情况,确实会有其他人进行回复。
七爪网,着重于网站源码,还有商城系统以及小程序,其更新频率具备一定水准,并且交易较为规范。
再说说互站网。
老牌子了,担保交易听着挺安全。
但风评两极分化——说好的觉得好,说不好的说平台护犊子。
在互联网上被我瞧见有投诉,有人作出交款项行为之后,向卖家报告所出问题,然而客服却给出“暂且忍耐一下”这样的劝告。
胆子大的上,不抗造的别碰。
86资源网,综合性资源站,源码种类多,便宜的免费的一大堆。
但是审核没那么严苛,你得自己去测安全性。
预算紧的个人开发者可以看看。
在中站源码网,它着重于低价这一方面,这儿具备分站源码以及模板,它是适合个人站长还有区域业务的。
## 担保平台真的能防血亏吗
呵呵,你猜。
互站对外宣称担保像淘宝模式。
可商品页面挂着「部分加密」四个小字,你不仔细看。
付完款才发现没前端代码。
问客服?「已明确标注部分加密,不予退款」。
平台:我们没啥责任啊。
内在含义是:你遭到了卖家的欺骗,这与我毫无关联。更为过分的投诉情况是:有人举报卖家和平台存在勾结行为,客服协助催促商家「再多欺骗几个」。
所以担保平台再多,自己不上心,钱照样喂平台。
## 合同里写了这些才算数
每次见别人问「签合同要写啥」,我都替他捏把汗。
很多合同一句「交付软件源码」了事。
这纯属作死。
“源码”究竟是什么,是前后端的所有代码吗,是仅仅只有业务逻辑的代码么,数据库脚本算不算是源码,配置文件如何,部署文档算不算源码范畴,SDK包又是否属于源码内容?
我曾看过一个案子,对方发送了一批代码,其中有三个数据库表缺失,而该项目根本无法运行起来。
合同里一句「交付源码」,扯皮了八个月。
合同得逐字逐句写明白,全都涵盖前端与后端代码,还有数据库设计文件,数据库脚本,部署安装的说明,接口文档,SDK包,所有第三方依赖库的清单以及授权文件。
缺一样都算没交付。
知识产权这项也要明确写死:「卖方需保证,其所转让的源码,是由其独立进行开发的,或者拥有完整的知识产权,不存在受到第三方权利限制的情况。要是出现侵权纠纷的话,卖方要承担全部的法律责任,并且赔偿买方全部的损失。」。
还有更高阶的避坑:用开源组件不算侵权?
存在这样一个案子,是经最高法作出判决的,开发公司于其中使用了源于开源的代码,致使甲方没办法获取到完整的知识产权,就算其能够实现运行状态,这同样被界定为违约行为。
添加一句为,「卖方保证交付的源码是自主研发的,当中不包含任何有可能对买方后续使用造成限制的第三方代码或者开源组件。」。
## 验收出了问题你怎么收场
源码交付给你了就能验收了吗?太天真了。
收下一个经过压缩处理的包,完成部署之后,运行了三天便是出现崩溃状况,再去寻找卖家,他声称「已经完成交付,这是你的问题」。
验收条款必须写死。
至少给予十五天,在此期间,你具有那种布置考查自然环境、开展程序代码审查、核查功能完善性的权力,一旦察觉故障,对方会在二十四小时之内做出回应、在七十二小时之内予以解决。
验收的制度是,在收到代码之后,于15个工作日以内,完成测试,并且以书面形式给出意见,要是超过期限没有异议,那么就视作验收合格。
但这要以卖方完整交付为前提。
缺陷要分级:致命、严重、一般。
致命缺陷没修复,你有权直接解除合同。
不是说卖家发个包就完事了,你的命运得自己抓紧。
## 后门代码比你想的可怕
买完代码、解压、部署,运行起来,就安全了?
太天真了。
没对源码开展安全扫描,或许暗藏着「大招」,即远程删掉数据、窃取用户信息,此类事情着实相当多。
那种并非单纯仅将入口开启的后门,它具备一种能力,可助你把所有数据库中的内容完全删除,能将用户所拥有的数据全部清除干净,而更为甚者,它还可把你的服务器转变当成用于挖矿的机器。
我曾目睹过一个金融源码,其底层框架乃是P2P爆雷项目,在代码当中,甚至将充提现的那个「抽水比例」给写死固定了。
情形更为恐怖的是,在某次检查的过程当中,我确切地察觉到有一个「黑洞接口」隐匿于内里,无论传入的金额究竟是多少,它都能够巧妙地避开风控环节,直接达成提现的操作。
这样的源码卖家居然标注了「运营级稳定无bug」。
还有金融方面的代码源,其所依托的底层基础结构是借助强行突破手段获取的,在相关配置之中留存着以往非法闯入者进行测试时所产生的记录,存在的安全漏洞多到难以计数,有无数个。
你用这种源码做项目,那不是等项目上线,是等自己进去。
故而合同当中务必得添加上这么一条:「对于买方而言,在验收期限之内,需要借助专业代码审计工具(像、这类的)来开展全面的安全检测工作,一旦发现存在后门或者恶意代码,针对卖方来说,必须马上进行修复操作,并且要赔偿买家全部的损失。」。
## 版权侵权才是最要命的坑
有人觉得「大不了删掉不就完了吗」。
话别说太早。
商用源码涉及版权,那可不是删掉就了事的。
司法的实践已然明确,没有遵循开源协议去使用开源软件,这构成了著作权侵权。
愈发令人恐惧的是,存在一些判例判定 GNU 通用公共许可证具备着合同的性质。开放源代码并不等同于免费,倘若你未曾提供源代码以供下载,那么授权将会直接终止,侵权行为得以成立。
所以,千万别觉得,从随便哪个免费源站那儿,拉来一大批编译好了的文件,那这些文件就归你了,要是法院看到这种情况,可不会这么认为。
企业于使用开源代码之前,务必要审慎核查协议类型,将自研代码与开源代码予以隔离,在发布之前委托第三方从事开源合规审查。
买别人的源码来商用,更是高危操作。
我见到一个案子,购买了价值49元的源码,使用了长达三年时间,之后被起诉要求赔偿5000。
法院会怎样去认定呢?你运用了他人受版权保护的源码来开展商业项目,不管你支付款项是几十块还是几百块,身为经营者却没有尽到审慎审查的义务,最终的判决是要赔钱的。
原来你觉得买得便宜就是能捡到便宜货,可法院判定你可是侵权共同犯罪人。“我不清楚”可不是能用来抵挡指责的盾牌。
所以商用源码必须签纸质合同,白纸黑字写清楚。
没有合同,就是等着爆雷。
## 最后说真话
有人会问:既然源码市场这么坑,那自己动手不就完了?
对,有时候最笨的办法就是最好的办法。
要是你自身具备能够去撸代码的能力,那么真的不要去买。自个儿所编写的事物会知晓根源底细,一旦出现问题也能够清楚从哪里去查找。
倘若确实非得要去购买,那就记好三条准则。其一,绝对不要在私底下进行转账。其二,在付款之前务必要看到真实的演示站点。其三,对于商用源码一定要签订纸质合同。
别把闲鱼当淘宝,也别把互联站当闲鱼。
这些字你都不想看了,那活该你花几万块买这个教训。
