Low-code стала одной из немногих продуктовых ниш информационных технологий, где Россия не догоняет, а формирует собственные стандарты. Low-code продукты появились в ответ на потребность бизнеса быстро создавать цифровые решения без сложной разработки. Рассмотрим, почему так происходит, в чем преимущества и недостатки российского low-code по сравнению с западным.

Созревание бизнеса

По данным Высшей школы бизнеса НИУ ВШЭ, 21,6% российских компаний уже используют low-code и no-code продукты. Еще 42,3% из них планируют внедрение, 36% изучают возможности. В данных цифрах видится не просто рост интереса со стороны заказчиков, но и перспектива смены подхода к ИТ. С одной стороны, компании ищут способ работать быстрее и дешевле, с другой — дефицит разработчиков и уход зарубежных поставщиков усиливают спрос на локальные инструменты.

В 2021 году доля иностранных решений low-code превышала 60%. Сегодня она не выше 5%. За три года отечественные игроки вывели зрелые продукты и заняли рынок, сделав ставку на практику, а не на копирование зарубежных решений. Отечественные разработчики тесно работают с заказчиками, собирают обратную связь, быстро исправляют слабые места.

В итоге отечественные low-code продукты стали гибче, получили шаблоны, встроенную аналитику и поддержку ИИ. Многие продукты поддерживают как облачное, так и локальное развертывание на инфраструктуре заказчика, что важно для критических отраслей, промышленности и госсектора. В некоторых случаях из отдельных no-code продуктов начали развиваться no-code платформы и экосистемы.

Зарождение платформ

Большинство российских решений выросло из проектов кастомной разработки. Компаниям необходимо было быстро автоматизировать процесс — например, документооборот или обработку заявок, а готового решения на рынке не было, либо оно не устраивало по важным критериям. Так появлялись внутренние инструменты, которые в некоторых случаях позже превращались в продукты и выходили на рынок.

Такая логика развития во многом и определила сегодняшний рынок. Важно понимать, что для работы с документами и таблицами выбирается одна архитектура, для клиентских сервисов — другая. Low-code продукты изначально создавались под конкретные бизнес-процессы, а не как универсальные конструкторы. Поэтому low-code продукты в России с одной стороны отличаются определённым разнообразием, а с другой стороны — несут в себе специфику и ограничения первоначально решаемой задачи. Например, некоторые продукты унаследовали тяжеловесную архитектуру от BPM- и СЭД-систем, и таких продуктов на рынке большинство.

Универсальные low-code платформы-конструкторы, создававшиеся такими изначально, находятся на рынке в абсолютном меньшинстве.

Выгоды и пробелы

Российские low-code платформы, в отличие от разрозненных продуктов, ускоряют автоматизацию и объединяют системы без необходимости поддерживать сложные интеграции и разрозненные процессы обслуживания. Появились платформы, позволяющие собирать полноценные корпоративные решения — от MVP до готового продукта. При этом на их основе создаётся всё та же функциональность, что и в случае использования изолированных продуктов: CRM, сервисы поддержки, корпоративные порталы и документооборот. Для многих компаний возможностей перечисленных решений вполне достаточно. Бонусом это дает бизнесу два ключевых преимущества — гибкость и скорость.

Есть и ограничения. Для задач с глубокой аналитикой и ИИ российские решения уступают западным. Массовых примеров промышленного применения ML пока мало. При высоких нагрузках часть систем теряет стабильность. Слабо развиты мобильные инструменты и автоматическое тестирование. Недостаток готовых модулей заставляет отечественных вендоров дорабатывать их вручную. Осложнена и прямая миграция с зарубежных решений, так как готовых отечественных решений нет в большинстве случаев. Зачастую миграция требует написания кастомного решения со стороны российского вендора.

Другие преимущества

Российские low-code продукты платформы выигрывают за счет локализации — они изначально создавались для отечественной инфраструктуры и российского законодательства. Отечественные платформы как правило соответствуют базовым требованиям 152-ФЗ, 44-ФЗ и 223-ФЗ, обеспечивают хранение данных внутри страны и зачастую внутри инфраструктуры компании, а также способны интегрироваться с государственными системами.

Независимость от санкций и зарубежных сервисов делает отечественные решения предсказуемыми по стоимости владения и распределению этой стоимости во времени. Поддержка продукта на русском языке, гибкие модели лицензирования и быстрые внедрения усиливают конкурентоспособность.

Информационная безопасность — еще один плюс. Вендоры встраивают многоуровневую защиту и контроль доступа, потому что заказчики работают с чувствительными данными. В данном случае это реальный запрос рынка, усилившийся многократно из-за влияния внешних факторов. Поскольку большинство решений применяются в госсекторе, промышленности и финансовых структурах — уровень доверия напрямую зависит от того, как выстроены процессы контроля, аудита и защиты данных.

На первом уровне действуют внутренние стандарты безопасности разработки от практик код-ревью до регулярного сканирования кода на уязвимости. Второй уровень включает внешний аудит или проведение исследований тестов на проникновение (пентестов). Второй уровень чаще всего является добровольно-сертификационным, либо чаще всего выполняется по требованию заказчика (организаций госсектора и компаний, эксплуатирующих элементы критической инфраструктуры). Третий уровень — сертификация по требованиям ФСТЭК и ФСБ и обязательное лицензирование как ключевое условие для работы в госсекторе и компаний с элементами КИ.

Контроль использования в составе решений open-source компонентов становится отдельным направлением контроля для компаний, разрабатывающих low-code продукты. Поскольку значительная часть этих продуктов опирается на открытые библиотеки и фреймворки, то вендоры внедряют собственные механизмы регулярного сканирования уязвимостей в open-source компонентах. Для этого применяются решения, интегрированные в процесс CI/CD, например, модули GitLab Security, Sonatype или SonarQube. Некоторые вендоры создают собственные разрешенные реестры open-source библиотек, что снижает риск появления неподдерживаемых или скомпрометированных компонентов.

Если стоит задача развернуть low-code решение в облачной среде, то комплекс мер защиты информации усиливается. Например, применяется дополнительное шифрование данных на всех уровнях от транспортного трафика с использованием протоколов TLS 1.2, 1.3 и до шифрования информации непосредственно в базах данных. Аутентификация реализуется через корпоративные SSO-системы с применением фильтров по IP или геолокации пользователя, а также механизмов 2FA. Многие российские low-code сервисы разворачиваются в отечественных облаках или защищенных центрах обработки данных, уже прошедших сертификацию на соответствие требованиями 152-ФЗ.

Следующий этап развития безопасности решения заключается в появлении встроенных в само решение инструментов мониторинга и анализа уязвимостей. Российские производители low-code интегрируют свои решения с SIEM-системами заказчиков, а также создают собственные ИБ-дашборды, которые позволяют отслеживать аномалии и подозрительную активность прямо в административных панелях поставляемых low-code решений. Подобная внутренняя аналитика превращает low-code не только в инструмент быстрого решения бизнес-задач, но и в элемент корпоративной системы киберзащиты.

Обеспечение высоких стандартов безопасности в отечественных low-code платформах постепенно перестает быть результатом воздействия внешних факторов и становится естественной частью жизненного цикла отечественного продукта.

Слабые места и вызовы

С 2010-х на российском рынке low-code появились десятки новых игроков. Уровень зрелости их продуктов сильно различается. Одни решения стабильно работают в Enterprise-сегменте, другие остаются нишевыми. Это препятствует стандартизации рынка.

Сохраняются архитектурные ограничения. Старые BPM- и СЭД-подходы снижают производительность и гибкость интерфейсов. При работе с большими объемами данных отечественные low-code продукты зачастую требуют дополнительных оптимизаций. Внешний аудит ИБ часто выявляет устаревшие, уже не поддерживаемые open-source компоненты в составе этих продуктов.

Однако в целом, несмотря на это, российский рынок low-code и основные отечественные его игроки постепенно движутся к системному контролю кода и внедрению единых стандартов безопасности.

Все понимают, что с одной стороны переход на отечественные low code-платформы потребует значительных усилий со стороны заказчиков. Необходимо обучать сотрудников работе с новым решением, где-то перестраивать и систематизировать бизнес-процессы. С другой стороны, данный этап неизбежно проходят компании при внедрении любого решения, как отечественного, так и зарубежного.

* * *

Отечественные разработчики low-code продуктов, и особенно — полноценных платформ, перестали играть роль догоняющих. На основе отечественных решений выстраиваются целые экосистемы, формируются партнерские сети. Вендоры не отстают в зрелости ИИ-инструментария, начинают формировать собственные технологические стандарты. Low-code как подход перестает быть способом просто ускорить внутреннюю разработку и становится элементом зрелого цифрового рынка, на котором главным критерием выбора становится не происхождение платформы, а способность превращать технологию в ощутимое и измеримое конкурентное преимущество.

Константин Беседин, директор по разработке “НЕКСТБИ”