像 js(node)、 Python 作为服务端部署到生产环境，怎么保证源码的安全性的？

@0o0O0o0O0o 人家问要怎么做，你跟人家说这件事要做，就是不说怎么做

node 不清楚，Python 我知道可以用 Pyarmor ，支持跨平台编译

有一说一，放在服务器上的代码都不值钱，就算直接给你源码都没用。真正值钱的代码人家都编译成一个可执行程序直接给你，你要是破解它，人家能把你告到倾家荡产。所以人家也不怕你破解。

说一个实际接触到的商用场景，乙方交付工程给我们使用，部署在我们给定的机器上，但是源码并没有售卖给我们。乙方使用了自定义 Python 解释器+源码混淆加密的手段保护自己的源码。可以运行，但是逆向难度极大。

应该是防同事吧，防新来的？既然这样服务器权限干脆别给。。

@x2420390517 #21 我指出我觉得 OP 理解有误的地方（**主流的部署在服务器上的**编译后的 java 项目并不比打包后的 node 项目保护强度高），并给我觉得更合理的方案（堡垒机用于授权监察审计），请问有什么问题吗？真顺着 OP 的思路去探讨不适合这个场景的混淆加固方案吗？不是我不会，是我觉得不合适。

@x2420390517 你这纯杠了，人家这个回答清清楚楚的表达出「 OP 可能是源码部署，但是实际事情是有解决方案的，只是没喂到嘴里」

@jianchang512

“这场景似乎只在预防一种人：可以给他服务器权限但不想让他看到或复制源码”

有这样的场景的，比如你提供的是一个语雀这样的服务，客户要求私有部署，你又不想让他看到源码

python 可以打包成 so 部署

都有自己的编译方式，同时也有对应的反编译方式。学过逆向的都知道，道高一尺魔高一丈，只能拉高门槛，根治是不现实的。

都进服务器了，谁还要源码啊，直接 clone 数据库了~

人家能进服务器
看不看源码重要吗

惹毛了给你 rm -rf 都干了

我们用 bytenode ，编译环境和实际运行环境的 node 版本要一致。

私有化部署下是常见的需求：甲方要求服务部署在他们自己的服务器上，服务由乙方部署，因为服务器是在甲方手上，为了保护服务不被甲方自行破解或者拷贝滥用，乙方会对服务进行混淆甚至加密，以防止服务被修改或者拷贝

我服了很多人的逻辑。。。。 戾气极重
没有好的解决方案就看看不行么。。。

nodejs 的话，一般会使用混淆+编译为二进制文件 bytenode, node18 之后开始原生有 Single executable applications 的相关接口

动态脚本是这样，不用编译直接运行。代码篡改是服务器安全问题，不是代码问题。

@RangerWolf 中国人就是这样的

@darksword21 #9 这垃圾玩意没人用的

@djasdjds 那用什么，我不熟悉 python 相关的东西，我这里是要部署到客户提供的机器上