Команда Яндекса опубликовала обнаруженные в ходе расследования подробности по недавней утечке исходного кода ряда фирменных сервисов.
Внутреннее расследование инцидента ещё продолжается. В Яндексе уже могут подтвердить, что фрагменты действительно взяты из внутреннего репозитория компании, но опубликованный код соответствует устаревшей версии. В Яндексе подчеркнули:
Первичный анализ показал, что опубликованные фрагменты не несут какой-либо угрозы для безопасности наших пользователей или работоспособности сервисов. В то же время мы решили, что сложившаяся ситуация — повод провести масштабный аудит всего содержимого репозитория.
В ходе аудита были обнаружены факты нарушения правил Яндекса, в том числе корпоративной этики. Например, обнаружились контактные данные некоторых партнёров, включая водителей, также обнаружились разного рода «костыли» и временные решения, оскорбительные высказывания в коде, и так далее.
В итоге в Яндексе отмечают:
Наша работа строится на принципах честности и прозрачности. Мы исходим из того, что любой внутренний диалог, документ или исходный код при определённых обстоятельствах может стать публичным. И если это случится, нам не должно быть стыдно.
Сейчас нам очень стыдно, и мы приносим извинения нашим пользователям и партнёрам. Считаем необходимым рассказать, почему такое происходило и что в связи с этим мы намерены предпринимать.
В компании планируют сохранить политику нулевой терпимости к ошибкам Zero Bug Policy, но пересмотреть способы её реализации, возобновить работу по формированию стандартов и принципов техноэтики, исправить противоречащие им фрагменты кода, а также создать новую службу, которая будет отвечать за соответствие кода корпоративным принципам и политике.