Архив, размер которого 44.71 ГБ, включает срезы репозиториев с кодом 79 сервисов и проектов компании, среди которых поисковый движок (фронтэнд и бэкенд), бот индексации страниц, платформа web-аналитики Yandex Metrika, картографическая система Yandex Maps, голосовой помощник Алиса, информационная система службы поддержки, Яндекс Такси, Yandex Phone, рекламная платформа Yandex Direct, почтовый сервис Yandex Mail, хранилище Yandex Disk, сеть доставки контента, торговая площадка Yandex Market, бизнес-сервисы Yandex360, облачная платформа Yandex Cloud и платёжная система Yandex Pay.
Это другое. «Утечки» кода винды, если строго говорить, произошли с первой продажей её дистрибутива. Там тоже код, хоть и в скомпилированом виде, и, постаравшись, из него можно сделать и исходники. Либо не делать исходники и считать что это прога на ассемблере. А тут код должен был быть защищён от просмотра посторонними в любом виде.
Если текущий алгоритм рассекречен то он перестаёт быть конкурентным преимуществом перед тем же гуглом, например, и придётся делать другой, ещё более хороший и опять засекреченный.
Вакансией поискового разработчика в Яндексе никого не удивишь, но наша — особенная: мы предлагаем заниматься разработкой поиска по интранету. Внутренняя документация, социальная сеть, трекер задач, портал сотрудников и другие сервисы интранета — всего более 5 миллионов страниц, по которым мы должны искать актуальную информацию и обеспечивать релевантность выдачи. Наши задачи чем-то похожи на «большой» поиск, а в чем-то уникальны.
недавно они предлагали вот такое, я тогда подумал и отказался, потому что мне было странно, что на такую работу ищут наёмника снаружи, а не кого то кому доверяют внутри.
Слышал что некоторые компании когда уходят под иную юрисдикцию или вместо продажи лицензий просто выкладывают свой софт типа в опенсорс, на деле срали они на СПО и опенсорс им просто нужно передать без милионных вложений и прочего код из точки А в точку Б. Может тут кто даже с выходом в СПО не захотел возиться. Это всё мои домыслы, возможно просто какой то дурак отбитый решил таким образом проявить эмм своё чего-то там.
Компания Яндекс подтвердила утечку, но заявила, что она произошла не в результате взлома.
Ну, конкуренты из исходников могут много чего узнать.
Та ладно… Как правило, в коде прям тааакие секреты… Во-первых, его как правило не запустишь, потому что в больших копропроектах, поднимание инфраструктуры и кода — титаническая задача, которая потребляет человеко-годы работы, и это при наличии доки и опыта и разрабов под боком. Во-вторых, везде одинаковое гуано, и скрестить гуано А с гуаном Б обычно не проще, чем с нуля написать гуано C.
Вот если бы утекли исходники MS, то я точно, знаю, что в одной компании наступил бы праздник. Потому что у MS часто написано что-нибудь типа: «Для включения WiFi дёрните вызов ms_enterprise_secure_enable_wireless_enterprise_module(ssl_context, ssl_cert, a, b, hHandleMoo, hHandleFoo, c, d, e, f, ….)». А на деле оно либо не включается, либо выдаёт ошибку 0xc8afb000034x, которой, естественно, нет в документации (попробуйте загуглить, и ройтесь в миллионах идентичных констант от пользователей со всего мира), либо оно работает, но включает wifi на 3 секунды и сразу же выключает, и т.д. и т.п.
Когда я работал в компании, завязанной на разработку под MS, у меня мозг взрывался. И нам реально приходилось дизассемблировать код некоторых DLL, чтобы понять, что оно там ждёт в параметрах, и почему выдаёт ошибку.
Фигня, пока ты там эти тонны кода освоишь (ну наверное морковка шутит же) там уже 100 раз всё поменяется.
Ну вот к примеру откроют мелкомягкие исходники ядра винды, ну и чего мы там интересного и нового увидим? Да ничего, всё тоже самое что и везде только вид будет в профиль. Так что. Разве что дыры какие, вот это да. А так, но что-то наверное придётся, правда твоя.
За морковкой уже выехали интересно или ещё обуваются
было интервью где они объясняли, что у них проекты сильно взаимоинтегрированы, поэтому видимо и доступ приходится давать всем, если там какой-нибудь пипон не уверен, что в нем можно линковаться с одними бинарниками или хедерами, тоже самое относится к тс, пхп и многим другим технологиям
Ага, код без разработчика это гора мусора. Сложность использования чужого кода четко показывает то время, которое нужно новому сотруднику для «входа в работу», это может быть месяц и более, и это все при том, что вокруг есть люди, которые работают с кодом и рассказывают как он там устроен.
Но опасность слива другая:
можно провести анализ кода на заимствования нарушающие лицензии.
можно провести анализ кода на оставшиеся ключи/пароли и пр.
можно провести анализ кода на предмет dos-атаки – какой запрос создаст маскимальную нагрузку на сервер
можно провести анализ кода на предмет уязвимостей при входе в сервис
можно провести анализ кода на предмет качества разработки, объема реально сделанной работы и пр., т.е. что на самом деле представляют из себя сервисы с т.з. технической сложности
можно провести анализ кода и выявить ключевых разработчиков или просто квалифицированных
можно понять какой версией софта пользуются, и использовать ее уязвимости, можно составить список внешних зависимостей и работать с ними…
Думаю дамп был снят не «рядовым разработчиком в рамках своих штатных прав доступа».
Получить доступ с правами разработчика проще, чем взломать инфраструктуру. И при взломе инфраструктуры последствия были бы более крупными. Я все же думаю что это или слив от разработчика, или через какую-то дыру в рабочем компе разработчика.
у разработчиков есть доступ не только к своему проекту, но и к большому количеству других проектов компании
А как это по-твоему должно работать? У меня тоже на гитхабе есть доступ ко всем проектам компании. Зато когда приходят на собесы люди из сбера, так начинается цирк с конями: базы не знают, логи не видели, мониторинги не правили, от докера шарахаются, да даже линукс не видели - потому что доступов не было
говорят, они тоже любили платить своим гениальным трудягам ниже рынка
Нет, у них просто политика удерживания сотрудников. Чем дольше работает сотрудник, тем больше зарабатывает.
Это противоположный подход, чем у всех остальных: когда все прыгают с работы на работу, чтобы получить повышение, и даже пишут об этом статьи: «Как удачнее прыгать из компании в компанию, чтобы максимизировать прибыль». Только проблема в том, что серьёзный проект не сдвинуть, поработав в нём несколько месяцев, или год, или даже два.