"Яровую" - на благо родины
Управляющий директор ООО "Р-Платформа" Сергей Члек (на фото) с трибуны
Генеральный директор компании Web Control Андрей Акинин с этим категорически несогласен: "Вы предлагаете скачать мировой океан open source и загнать его в океанариум. Это порочный путь, и он не даст добавленной стоимости. Нужно не выкачивать в Россию весь open source, а привлекать сюда разработчиков продуктов с открытым исходным кодом. Нам нужен не рыбхоз, а такой же открытый океан, в котором будут расти новые стартапы. И чтобы разработчики, которые уехали из РФ после 24 февраля, вернулись ".
Анжей Аршавский, который до 1 июня 2022 г. возглавлял центр монетизации данных ПАО "Газпром нефть", рассуждает: "В условиях открытого мира никто не будет пользоваться искусственно созданным ресурсом - все будут тянуться к таким мировым центрам притяжения, как GitHub. Конечно, для того чтобы митигировать риски, нужно создать некоторый репозиторий в границах России. Готовиться надо всегда к худшему, но надеяться - на лучшее".
Председатель совета директоров "Базальт СПО" Алексей Смирнов в шутку предложил не ограничиваться архивированием всего ПО: "Ведь есть же "архив всего интернета", и использовать для этого ресурсы, выделенные на закон Яровой, - остроумная идея. Правда, "архив всего интернета" на территории России противоречит задачам, которые решает Роскомнадзор. Раз уж заговорили об оригинальных идеях, могу предложить направлять деньги с "налога Михалкова", которые платят со всех носителей информации, на поддержку отечественных разработчиков свободного ПО. Ведь на носители информации пишут не только песни и фильмы, но и программное обеспечение. А если серьезно, в России уже есть "зеркала", в том числе и свободного ПО, например у "Яндекса". Но дело не в том, чтобы собрать и законсервировать все исходные коды, а в том, чтобы с ними продолжали работать команды квалифицированных разработчиков. Сотрудничество с международными проектами СПО тут критически важно, мы все свои доработки коммитим в международные проекты. Идея все скопировать, а дальше все делать самим в отрыве от международных проектов - провальна".
Независимый эксперт на телеком и ИТ-рынке Вадим Плесский поддержал идею Сергея Члека. "Это правильная инициатива. Ключевые компетенции должны быть в России, и ими должны обладать российские специалисты. Весь GitHub скачивать и "осваивать" не нужно. Хотя резервная копия его содержимого, на случай тотального отключения России от интернета западными провайдерами (нарушения связности сети), в России быть должна, - считает он. - По каждому из проектов, составляющих основу серверного стека технологий, и по десктопным продуктам необходимо создать "центры компетенций", которые будут способны самостоятельно, без помощи зарубежных специалистов, развивать и поддерживать эти компоненты. Касательно "очистки" - за последние 30 лет в сообществе open source накоплено много "мусора". Его нам наследовать не нужно. Какие-то из имеющихся проектов, вероятно, имеет смысл переработать, переписать на более современные языки и фреймворки, дополнить и расширить функционал. Принимать решения, на чем фокусироваться, должны именно эти центры компетенций. Причем в идеале они должны быть не при некоторых компаниях, а независимые, с целенаправленным финансированием конкретных проектов и разработчиков. В данной ситуации (контекст спецоперации - прим. ComNews) закон Яровой сослужил хорошую службу всем российским компаниям. Сейчас под выполнение закона Яровой закуплено и установлено большое количество оборудования. Если его высвободить, как образно предложил Сергей Члек, то можно реализовать масштабные проекты, без закупок дополнительного оборудования, которое просто негде сейчас купить".
ИT-консультант, индивидуальный предприниматель Дмитрий Кашин рассказал, что исходный код любого проекта - это живой продукт, который постоянно развивается. "Миллионы людей по всему миру ежедневно находят и исправляют уязвимости (CVE) и ошибки (bugs), а также реализуют дополнительный функционал (features). Потому единоразово скачать исходный код смысла мало: синхронизацию с основным репозиторием каждого проекта (upstream) нужно делать более-менее регулярно, ведь CVE в массе не являются закладками, а появляются в продуктах вследствие недоработок. Недостаточно просто скачать исходный код. Нужно делать это регулярно, - пояснил он. - Код, который невозможно собрать, - бесполезен. А наличие исходного кода не гарантирует, что из него можно будет собрать пригодную к использованию программу. Так, например, проекты на языке Java имеют список бинарных - уже собранных из исходных кодов - зависимостей, которые должны быть скачаны из репозитория Maven для сборки проекта. Это означает, что для сборки Java-проекта обязательно нужно будет поднять зеркало репозитория Maven. А центральный репозиторий Maven не просто не предоставляет инструмента для этого, но и прямо запрещает зеркалирование. Аналогичную ситуацию можно встретить во многих современных ИT-практиках. Например, зачастую современный софт собирается в контейнерах, то есть для сборки нужно зеркало DockerHub. Недостаточно создать зеркало репозиториев исходного кода. Нужно также обеспечить зеркалирование специфичных бинарных репозиториев".
Дмитрий Кашин отметил, что подобная инициатива будет стоить очень дорого, и все равно не избавит Россию от зависимости от зарубежных вендоров ПО. "И это мы еще даже не начинали говорить о поддержке систем непрерывной сборки-доставки, так называемых CI/CD, которые сильно разнятся от проекта к проекту. Страх, что зарубежные вендоры перекроют доступ к сервисам, программным продуктам и исходному коду, - вполне понятен, поскольку они уже это делают. Например, Hashicorp Cloud Plantorm был недоступен для пользователей из РФ еще в 2020 г. Тем не менее, покуда есть связность сети, это не является большим препятствием для работы российской ИT-индустрии: всегда есть возможность развернуть заграничный VPN и пустить трафик через него. Это как серый импорт: товар всегда найдет дорогу туда, где он востребован. Но если с физическими товарами все сложно, то в ИT-индустрии особенных проблем с этим нет", - прокомментировал Дмитрий Кашин.
"Безусловно, отдельные проекты могут перейти на полностью закрытый цикл производства ПО: можно скачать все зависимости отдельно взятого проекта и работать только с ними. Но в этом случае возникнет чрезвычайно много накладных расходов: во-первых, компании придется перестроить свои сборочные сценарии, а во-вторых, потребуется наладить бизнес-процессы по регулярному анализу изменений скачанных извне зависимостей, чтобы своевременно портировать в продукты исправления уязвимостей. И здесь есть очень много подводных камней, чтобы оступиться. Большинство из тех, кто делают заявления о полном переходе на закрытый цикл производства ПО, обычно лукавят и либо перешли не полностью, либо пренебрегли безопасностью. Примеров обратного крайне мало. Помимо создания зеркал на территории РФ, существует еще вариант с развертыванием кеширующих прокси-серверов. Он размещается локально, перенаправляет на внешний ресурс запросы отсутствующих в нем файлов, и сохраняет их в кеше для того, чтобы при повторном запросе отдать их, не обращаясь ко внешнему ресурсу. Наши текущие решения проблем с доступом пока включают в себя кеширующие прокси-сервера и VPN-туннели, обходятся сравнительно дешево и обеспечивают достаточную отказоустойчивость, чтобы производственные процессы не прервались в случае эксцессов с прямым сетевым доступом до критически важных зарубежных серверов", - подвел итог Дмитрий Кашин.