В России появился еще один аналог GitLab
Генеральный директор ООО "Аппсек Солюшенс" ( AppSec Solutions, входит в ГК Swordfish Security) Юрий Сергеев сообщил, что более 80% небольших ИТ-компаний-разработчиков в РФ до сих пор пользуются платформой GitLab, в том числе, покупая лицензии с помощью параллельного импорта, в то время как крупный бизнес себе этого позволить не может из-за ограничений законодательства на использование иностранного ПО в рамках КИИ (критической информационной инфраструктуры).
"У AppSec.Code есть функция подключения внешних репозиториев - она позволяет добавить в настройках внешний репозиторий и запустить с ним процесс сборки, тестирования и деплоя. Это можно представить как: AppSec.Code+GitHub. Функционал AppSec.Code позволяет сразу проверять то, что разработчик получил из репозитория, с точки зрения DevSecOp и в целом информационной безопасности. Бизнес-модель платформы - лицензия: ежегодная подписка по количеству пользователей", - объясняет пресс-служба AppSec Solutions.
"AppSec.Code по функционалу не уступает премиальной версии GitLab Enterprise - таким образом, даже крупнейшие корпоративные клиенты могут перейти на российское ПО безболезненно. Решение интегрировано с отечественными продуктами в сфере DevSecOps, которые подключаются через платформу оркестрации класса ASPM (Application Security Posture Management). При разработке AppSec.Code мы добавили поддержку Astra Linux ОС, а также встроенную интеграцию с российскими ИБ-сканерами для анализа защищенности исходного кода, библиотек с открытым исходным кодом, облачных контейнеров, - рассказал генеральный директор AppSec Solutions Юрий Сергеев.
По данным AppSec Solutions, платформа AppSec.Code работает в закрытом контуре без доступа в интернет и в нем нет компонентов которые могут быть уязвимы для внешних угроз.
GitHub и GitLab - это сервисы для хранения кода, также предоставляющие набор дополнительных инструментов для работы с ним. Обе платформы призваны решать задачи полного цикла разработки - от хранения исходного кода до внедрения готового кода в рабочее окружение. Они могут быть развернуты как в облаке, так и по модели on-premise в закрытом контуре компании. При этом GitLab является продуктом, построенном на open source, в то время как исходного кода GitHub в открытом доступе нет.
Пресс-служба АО "Селектел" (Selectel) объяснила, что кроме "голого" хранилища и у GitLab, и у GitHub есть огромный инструментарий, построенный вокруг сервисов за годы его развития - сторонние сервисы, скрипты, приложения, библиотеки, и прочее, к тому же GitHub - это не просто место для работы с кодом, а социальная сеть, в которой ИТ-специалисты обмениваются новыми разработками, оценивают проекты друг друга и черпают вдохновение.
Технический директор АО "РДТЕХ" Алексей Дедевич объясняет, что функционал GitLab и GitHub во многом очень близок, но платформа AppSec.Code по идеологии ближе к GitLab, и правильнее ее рассматривать как альтернативу "on-primes" GitLab.
"GitLab - это программный комплекс, который используют различные команды разработчиков, крупные и средние организации для управления совместной разработкой. GitHub изначально делался как облачный сервис. Его задача была именно в поддержке проектных команд в публичном хостинге их проектов. Если в основе GitLab была идея - упростить управление исходным кодом внутри команды, то GitHub ориентировался на организацию совместной работы над кодом для гео-распределенных команд через Internet. Но, развиваясь, GitHub стал также добавлять функции по автоматической сборке, проверке на информационную безопасность, поддержке проектной работы и документирования", - объясняет он.
По словам Алексея Дедевича, GitLab и GitHub - это платформы, которые не дают доступ к open source, а позволяют создавать source, как open, так и limited; GitLab потенциально можно развернуть в "домашней" инфраструктуре, а Github изначально облачный.
Российские аналоги GitHub и GitLab
В России функционируют локальные репозитории крупных компаний: "" ("Ростелеком"), "" (Холдинг "T1"), ("Сбер"), ("РеСолют") и библиотека решений с открытым кодом от правительства Москвы. В середине апреля 2024 г. в Минцифры РФ сообщили о решении пересмотреть ход эксперимента по созданию в РФ национального репозитория открытого кода.
Руководитель направления "Инженерные инструменты" платформы "Сфера" Холдинга "Т1" Евгений Калашников объясняет, что платформа "Сфера" частично замещает оба продукта: GitHub и GitLab. При разработке "Сфера", "Код и Сфера" CI/CD мы брали во внимание возможности GitLab. Платформа с точки зрения функционального наполнения соотносится с решением GitLab Premium и полностью покрывает возможности GitLab Community Edition. В отличие от GitHub и GitLab, которые ориентируются как на B2C- и B2B-сегменты, мы фокусируемся в первую очередь на крупном бизнесе, а стоимость зависит от количества пользователей.
"AppSec.Code представляет собой конкурентный продукт. Однако на рынке множество сильных игроков, поэтому появление платформы кардинально не изменит общую картину", - считает Евгений Калашников.
Заместитель генерального директора по производству, технический директор "Ростелеком ИТ" Кирилл Пихтовников объяснил, что "РТК-Феникс" входит в экосистему ИТ-продуктов "Ростелекома" "Лукоморье" и "РТК-Феникс", и предлагает разработчикам не просто набор отдельных инструментов, а среду для создания программных продуктов, выходя далеко за рамки функционала GitLab или GitHub: "AppSec.Code и продукты "Лукоморья" решают схожие задачи, но сильно отличаются по специализации. "Лукоморье" - экосистема, направленная на повышение безопасности и эффективности разработки ПО, которая предлагает рынку беспрецедентный уровень функциональности, недоступный у конкурентов", - отметил он.
"РТК-Феникс" оптимизирует безопасность разработки ПО без необходимости менять текущие процессы команды и без необходимости привлечения в команды ИБ-специалистов. Оно снижает затраты на безопасную разработку, выявляя уязвимости в open source компонентах и предлагая рекомендации по их устранению. Продукт блокирует использование небезопасных библиотек и обеспечивает полный цикл проверки и хранения артефактов (10+ форматов) с автоматическим анализом всех зависимостей. Дополнительно решение проверяет Software Bill of Materials на уязвимости, автоматически загружает рекомендуемые артефакты и предоставляет информацию об open source лицензиях", - добавил Кирилл Пихтовников.
Директор по развитию бизнеса компании "РеСолют" ("Группе Астра" принадлежит 51% этой компании) Денис Рамазанов сообщил, что их платформа GitFlic взяла на себя задачу предоставить российским разработчикам облачную платформу, чтобы консолидировать сообщество разработчиков в РФ, а также дать достойную замену ушедшим вендорам для корпоративных заказчиков, которые бы использовали премиальные тарифы и версии для локального использования на серверах.
"Облачная платформа GitFlic.ru позволяет бесплатно создавать как публичные, так и приватные проекты и объединяться в команды. Существует платный тариф при работе с приватными проектами более пяти пользователей в команде. Продукт для развертывания на сервере или Self-Hosted версия GitFlic поставляется как лицензия на использование ПО, основной метрикой которой является количество пользователей системы и срок использования. Существует и бесплатная версия такой сборки, которую всегда можно скачать из релизов проекта GitFlic".
На вопрос корреспондента ComNews, каким может стать спрос на новую платформу AppSec.Code Алексей Дедевич ответил, спрос будет, но средний, без ажиотажа. "Купить продукт могут только компании с бюджетами, а команды энтузиастов будут в докере развертывать GitLab. Все выгоды платформы AppSec.Code очень хорошо проявляются на уровне средних и крупных предприятий. Может, коллеги-разработчики зайдут с этим решением в ВУЗы, и это будет очень хорошо. Но все-таки платформа не для малого бизнеса и ИТ-энтузиастов", - заключил он.
"Сбер" и правительство Москвы не ответили на вопросы ComNews.
