В очередном новостном дайджесте мы поговорим про то, что Google увольняет разработчиков своей новой ОС, как Индия приступила к разработке собственной мобильной системы, почему утекли исходные коды внутренних сервисов Яндекс и зачем российский военный дистрибутив Linux рекомендовали к установке в госсекторе. Наливайте любимых напитков, берите вкусняшки и поехали, будет интересно!
Утечка данных из внутренних GIT-репозиториев Яндекса
На ресурсе для слива различного рода данных под названием BreachForums неизвестный опубликовал архив размером 44,7 гигабайта, в котором содержались исходные коды с внутренних репозиториев Яндекса. Среди проектов были обнаружены Яндекс Диск, Яндекс Почта, голосовой помощник Алиса, Яндекс Карты, Яндекс Маркет и Яндекс Pay, также в архивах нашли внутреннюю документацию компании со ссылками на сервисы во внутренней сети компании. Пользователь, который опубликовал архив утверждает, что получил данные в июле 2022 года в результате взлома.
Представители Яндекса подтвердили утечку, но отметили, что она произошла не в результате взлома. По их словам, в архиве находятся только исходные коды, без персональных данных пользователей.
Никакого взлома Яндекса не было. Служба безопасности Яндекса обнаружила в открытом доступе фрагменты кода из внутреннего репозитория. Однако их содержимое отличается от текущей версии репозитория, которая используется в сервисах Яндекса.
Репозиторий – это один из инструментов для разработки внутри большинства компаний, который доступен их разработчикам. Репозитории нужны для работы с кодом и не предназначены для хранения персональных данных пользователей. Мы проводим внутреннее расследование о причинах попадания фрагментов исходного кода в открытый доступ, но не видим какой-либо угрозы для данных наших пользователей или работоспособности платформы.
При этом некоторые энтузиасты, изучив содержимое, нашли в нем ключи для API-доступа к сервисам компании, правда скорее всего они применялись только для тестирования и не использовались в рабочих окружениях. Создать свой Яндекс у молодых хацкеров не получится, так как в архивах находится срез репозиториев без истории изменений, а последняя правка датируется 24 февралем 2022 года.
Поскольку в разработке по-прежнему задействованы люди, то подобные утечки вполне объяснимы. Кто-то где-то чего забыл, кто-то не проконтролировал и таким образом ворох недочетов и ошибок приводит к утечке. Думаю, что в этот раз Яндекс еще легко отделались, потому, что не произошло утечки персональных данных, как это случилось, например, с утечками из Яндекс Еды, когда один из сотрудников выложил в открытый доступ данные клиентов. Вполне возможно, что и в этот раз за сливом стоит какой-либо действующий или бывший сотрудник. Ну тут уже все вопросы к службе информационной безопасности.
Индия начала разработку собственной мобильной операционной системы
Не только Россия стремится обеспечить технологический суверенитет. Под шорох международных санкций в отношении нашего государства собственные разработки начала Индия. Институт технологий представил платформу для мобильных устройств под названием BharOS. Ее разработкой занимается учрежденная при институте некоммерческая организация Pravartak Technologies Foundation.
В качестве основы взяли репозиторий Android Open Source Project (AOSP), в котором расположены исходные коды системы Android, но без привязки к сервисам Google. Индийские разработчики сделали форк AOSP из которого уже появилась BharOS.
Известно, что в качестве поисковой системы по-умолчанию используется DuckDuckGo, а в качестве мессенджера выбрали Signal. Кроме того, внедрены изменения, которые повышают безопасность хранения и передачи персональных данных. Дополнительно в будущем планируется разработать собственный магазин приложений для того, чтобы обеспечить BharOS всем необходимым ПО.
Остается только поздравить индийских товарищей и пожелать им удачи в плане достижения того самого технологического суверенитета. Иными размышлениями относительно импортозамещения в России я уже делился с читателями и подписчиками в специальной рубрике на канале.
Google уволила 16% разработчиков Фуксии
В августе 2016 года на GitHub был обнаружен репозиторий с исходным кодом новой операционной системы от Google под названием Fuchsia (Фуксия). Компания на момент обнаружения не делала никаких официальных заявлений и лишь позже скромно признала, что разработка действительно ведется. Фуксия, в отличии от других продуктов Google, не основана на ядре Linux, а работает на микроядре «Zircon», производном от «Little Kernel». Предполагается, что система будет встраиваемой для смартфонов, умных часов, планшетов и ПК. В 2017 году в систему добавили пользовательский интерфейс и выложили для ознакомления в открытый доступ.
20 января 2023 года в официальном блоге Google появилось сообщение о предстоящих сокращениях среди разработчиков. Уволены будут 12 000 сотрудников, что составляет 6% от общего числа персонала. Из этих 12 000 находятся 400 человек, которые разрабатывали Фуксию. Получается, что проект новой ОС потеряет 16% от общего числа разработчиков. Дополнительно сокращения коснуться инкубатора Area 120, который занимается развитием новых продуктов компании. Как подобные сокращения скажутся на процессе разработке операционной системы представители компании не сообщили.
Мне кажется, что Google стали заложником самих себя. На протяжении нескольких лет они плодили огромное количество смартфонов и других устройств на Андроиде, создав новый пласт пользователей и потребителей своей продукции. Теперь же любые попытки заменить Андроид чем-либо будут встречены ликованием только среди технических фанатов и разработчиков. Обычному пользователю, как мне кажется, эта Фуксия не нужна и потому переход на нее лишь вызовет отторжение аудитории.
Мобильную систему Вооруженных сил РФ включили в реестр отечественного ПО
Российские Linux-дистрибутивы линейки «МСВСфера» включили в реестр отечественного программного обеспечения, который ведут Минцифры. Это означает то, что теперь дистрибутив, разрабатываемый изначально исключительно для нужд армии будет доступен гражданским структурам из госсектора.
История МСВС началась в 1999 году во Всероссийском научно-исследовательском институте автоматизации управления в непромышленной сфере им. В. В. Соломатина (аббревиатура выглядит получше полного названия - ВНИИНС), где систему начали разрабатывать по заказу Министерства обороны РФ. В 2021 году дистрибутив и права на него приобрела компания Softline и включила его в состав «МСВССфера». Через год появились компьютеры, работающие на этом дистрибутиве, а уже в 2023 его включили в реестр отечественного ПО.
Процедура включения не обошлась без инцидентов. Экспертный совет, который рассматривал заявки на включение в реестр продуктов «МСВСфера АРМ» и «МСВСфера сервер» возглавлял Максим Паршин, который одновременно является заместителем главы Минцифры, а экспертами выступили председатель совета «Базальт СПО» (разработчики дистрибутива «Альт») Алексей Смирнов и глава Центра компетенций по импортозамещению в сфере Илья Массух. У Смирнова еще до начала заседания возник ряд вопросов и претензии к рассматриваемым продуктам, а во время заседания он вынес отрицательное заключение. Причиной этого (со слов Смирнова) стало то, что продукция «МСВССфера» «имеет чрезмерно много общих черт с открытой операционной системой CentOS - без должного уровня переработки». Получается дистрибутив для российских вооруженных сил обвинили в недостаточной российскости, что довольно интересно, как по мне.
Кстати, со слов Массуха в скором времени критерии этой самой «российскости» и «независимости от иностранных разработчиков» будут пересмотрены, что приведет к снижению количества дистрибутивов Linux в реестре.
В результате по линии операционных систем мы наверное придем к тому, что в реестре останется не 30-40 ОС, как сейчас, а около пяти. Какие именно продукты останутся, сейчас сказать сложно, но в любом случае все существующие решения с появлением новых критериев окажутся в равных условиях.
Напрямую с дистрибутивами МСВС я не взаимодействовал, только будучи в армии видел их и один раз использовал для передачи информации с флэшки на компьютер. Потому судить о качестве и «юзабельности» не могу. Но знаю, что среди подписчиков есть те, кто активно с этой системой работал, вот они-то и расскажут про нее в комментариях. Мне кажется, что военный дистрибутив меньше всего нужен в гражданской сфере. Там и так достаточно достойных кандидатов. Возможно, что за включение продукции в реестр Softline «занесли» кому-то, чтобы тоже значится в реестре и расширить клиентуру за счет гражданской части госсектора, отбив тем самым потраченные средства.
В сегодняшнем выпуске вопреки сложившейся практики не три и не пять новостей, а четыре. Поэтому на этом мы завершаем дайджест и переходим в комментарии, где обсудим предложенные инфоповоды.
