Путь Open Source в нашей стране нелегок. Несмотря на многочисленные преимущества открытого подхода к созданию ПО, взрывного роста интереса к этому направлению пока не наблюдается. Тем не менее развитие свободного ПО (СПО) в России продолжается, причем, судя по докладам на саммите Russian Open Source Summit 2015 (ROSS’2015), движение идет в сторону повышения его зрелости. Неслучайно центральное место на саммите заняли темы безопасности, сертификации, окупаемости разработок, интеграции программных решений.
Эти вопросы выходят на первый план в свете последних государственных инициатив, таких как поворот в сторону импортозамещения, грядущее вступление в силу поправок к закону о персональных данных и т. д. На рост доверия к СПО указывают и проекты, которые продолжают развиваться как в государственном, так и в частном секторах.
Но остается немало проблем, затрудняющих переход к широкому использованию СПО. Некоторые из них также рассматривались на прошедшей конференции.
Безопасность и сертификация
Одна из причин настороженного отношения к Open Source связана с вопросами обеспечения безопасности. Казалось бы, если код открыт, то можно его проверить. Но, с другой стороны, как его проверить, если в нем миллион строк? В госсекторе, например, многие не используют СПО, так как не уверены в отсутствии в нем дыр.
Развеять подобные сомнения позволяет сертификация. В результате растет число открытых продуктов и решений, имеющих сертификаты ФСТЭК. Но получить их непросто. Как рассказал Александр Трубачев, заместитель председателя по НИР компании «Центр безопасности информации», разработчик должен представить документацию, которая доказывает выполнение необходимых мер по безопасности. А таких мер немало. Сюда входят требования по безопасности к архитектуре ПО, среде разработки, жизненному циклу ПО, управлению конфигурацией, тестированию, оценке уязвимостей, проектной и эксплуатационной документации, организации поставки продукта потребителю и устранения недостатков и т. д.
Участники конференции посетовали на то, что зачастую процесс настолько затягивается, что к моменту его завершения продукт успевает уйти далеко вперед. По словам Александра Трубачева, здесь многое зависит от компании-разработчика: «Если она предоставила качественную документацию, то сертификация проходит быстро, так как основное время уходит на доработку документации и самого продукта».
Опытом в этой области поделился Владимир Рябчиков, генеральный директор компании НЦПР, которая продвигает набор СПО, включая ОС «МСВСфера АРМ/Сервер», построенную на базе открытого проекта CentOS, систему управления контентом «МСВСфера Инфооборот», разработанную на открытой платформе Alfresco One Enterprise Edition, и клиентское приложение для мобильных устройств «МСВСфера ИнфоМ», созданное на основе программы Alfresco Mobile.
Системы «МСВСфера АРМ/Сервер» 6.3 и «МСВСфера Инфооборот» 4.2 уже прошли сертификацию ФСТЭК по второму оценочному уровню доверия (ОУД-2), а по отсутствию недекларированных возможностей по четвертому уровню контроля (НДВ-4). По словам Владимира Рябчикова, для ОС «МСВСфера» сертифицированы также и средства виртуализации: «Раньше такой проверки не было. Но это может быть интересно тем хостерам, которые собираются предоставлять доступ к персональным данным».
В этой области грядут перемены. 1 сентября 2015 г. вступают в силу изменения в законе, направленные на хранение персональных данных россиян на серверах, физически расположенных на территории нашей страны. А еще в прошлом году по этому поводу было принято законодательное уточнение, в котором говорится, что продукты, не имеющие сертификации на отсутствие недекларированных возможностей, не могут использоваться в государственных информационных системах и системах хранения персональных данных.
Так что с точки зрения законодательства наличие сертификата дает явное преимущество. Как отметил Владимир Рябчиков, среди других систем управления контентом такие же сертификаты, как у «МСВСфера Инфооборот», имеет только EMC Documentum. Но это проприетарная система и к тому же нероссийская.
Сертификацию прошли и некоторые дистрибутивы Linux. Так, в прошлом году на отсутствие недекларированных возможностей по четвертому уровню контроля была сертифицирована ОС GosLinux, разработанная в Федеральной службе судебных приставов (ФССП) на базе CentOS.
ФСТЭК сертифицировал на наличие средств защиты от несанкционированного доступа и по уровню контроля НДВ-4 совместное СПО-решение компаний Parallels и IBS, предназначенное для создания виртуальных рабочих мест (VDI).
По мнению участников конференции, в ближайшей перспективе внимание к вопросам информационной безопасности будет только расти. «Чем больше в рамках глобализации мы будем заниматься международным сотрудничеством, тем больше от нас будут требовать защиты конфиденциальной информации и аттестации систем, — сказал Владимир Рябчиков. — Кроме того, как и во всем мире у нас будет развиваться рынок страхования на случай потери информации, подобно ОСАГО, и стоимость страховки будет зависеть от степени защищенности системы».
СПО в госсекторе
На рост доверия к OpenSource указывают проекты в государственных учреждениях, некоторые из них были представлены на конференции.
ФССП России решила перейти на Open Source еще в
Основу СПО-решения составляет ОС GosLinux, построенная на базе GNU/Linux-дистрибутива CentOS 6.4. Поверх GosLinux, сертифицированной в прошлом году, работает отраслевая информационная система АИС, в которой в качестве СУБД используется СПО FireBird российской компании Red Soft. Помимо АИС в инфраструктуру ФССП входит много другого российского софта. " Но полное импортозамещение сейчас еще невозможно из-за отсутствия альтернативы по оборудованию«, — посетовал Егор Васильев.
Он подчеркнул, что со ФСТЭК согласована не только схема обновления дистрибутива GosLinux, но и схема его распространения в территориальных органах ФССП: «Внедрение идет по двум направлениям: централизованно совместно с подрядчиком по регламенту, разработанному в соответствии со спецификациями Минкомсвязи по импортозамещению для категории операционных систем, и самостоятельно, но по нашим рекомендациям самими территориальными органами, которые переходят со старых версий Windows».
Сейчас система внедрена в ФССП на 10% оборудования, а на будущий год запланирован охват в
Продолжается и движение в сторону интеграции с другим российским софтом. Так, о совместимости своих продуктов с АИС уже заявили компании «Актив», «Доктор Веб», ИнфоТеКС, «КриптоПро», «Лаборатория Касперского».
Но не все идет гладко. Егор Васильев выделил ряд проблем, мешающих внедрению Open Source, в числе которых необходимость применения проприетарного ПО для организации требований межведомственного взаимодействия, недостаточная адаптация приложений кадрового и бухчета для использования в кроссплатформенной среде («1C», «Парус» и т. д.), нехватка квалифицированных специалистов по разработке, внедрению и сопровождению Linux-подобных ОС. «У нас обучение проводится централизованно, мы их учим, а они уходят», — с сожалением отметил Егор Васильев.
На открытый софт переходит и правительство Московской области, в котором на базе двух ЦОДов реализована облачная инфраструктура. В настоящее время развертывается система управления виртуальными ресурсами, построенная на открытой платформе управления гибридными облаками Red Hat Cloud Forms, позволяющая пользователям в режиме самообслуживания запрашивать нужные ресурсы, а технические специалисты органов госвласти разворачивают для них нужные серверы в рамках выделенных ресурсов.
По словам Оксаны Курышевой, менеджера по продукту Alfresco компании VDEL, сейчас идет поэтапное подключение к системе самообслуживания органов госвласти. Правда, пока еще заказчик в качестве системы виртуализации использует закрытый софт VMware vSphere, но планирует вскоре перейти на СПО-продукты OpenStack и Red Hat Enterprise Virtualization.
В сторону открытого ПО движется и Федеральная налоговая служба РФ (ФНС), которая реализует масштабное внедрение автоматизированной системы «Налог-3». В рамках этого проекта компании Parallels и IBS внедряют совместное решение по созданию виртуальных рабочих мест (VDI), в основе которого лежит контейнерная технология, разработанная Parallels. По оценке разработчика, такой подход позволяет размещать на одном сервере больше виртуализированных рабочих мест, чем другие технологии виртуализации. По результатам пилотного проекта принято решение о переводе системы в промышленную эксплуатацию.
Коммерческий сектор и Open Source
На ROSS 2015 было представлено немало примеров внедрения СПО и в коммерческом секторе. Так, фирма Siberium внедряет в компании «Авиамаркет», входящей в холдинг «Хелипорты России», интегрированную СПО-систему, включающую продукт Siberium ERP/CRM на базе iDempiere, портальное решение Liferay, аналитическую систему Pentaho, средство Asterisk для телефонии и Zimbra для корпоративной почты.
По словам Алексея Сорокина, директора компании Siberium по стратегическому развитию, заказчику было все равно — СПО или не СПО: «Главное — невысокая стоимость, стабильная работа и снижение рисков для бизнеса. Поэтому был выбран путь максимально возможного внедрения СПО, а в случае успеха — распространение решения на остальные подразделения холдинга».
Сейчас в «Авиамаркете» вся телефония полностью переведена на систему Asterisk, которая работает на восьми серверах, обслуживая 4000 абонентов. Идет замена Exchange и других закрытых почтовых систем на Zimbra Community Edition, при этом два сервера обслуживают уже порядка 1500 пользователей Zimbra.
Расширяется внедрение ERP-системы iDempiere для управления активами в подразделении производства строительных материалов. Идет внедрение корпоративного интранет-портала на Liferay. Готовится перенос решения в другие подразделения холдинга.
Кроме того, начался перевод пользователей с Windows на Linux, но был приостановлен, так как Microsoft пообещала бесплатный переход на Windows 10 с предыдущих версий. «Но если к июню-июлю это не случится, то миграция на Linux продолжится», — выразил надежду Алексей Сорокин.
Компания Citeck поделилась опытом внедрения своей системы управления контентом EcoS, построенной на базе продуктов Alfresco и «МСВСфера Инфооборот». Один из проектов реализован в компании «Газпром космические системы», которая создала и эксплуатирует систему спутниковой связи и вещания «Ямал». По словам генерального директора Citeck Антона Иванова, основная задача заключалась в автоматизации договорной и закупочной деятельности, создании электронного архива и сканировании/распознавании технической документации. Система используется уже больше года, с ней работают сто сотрудников и 17 тыс. контрагентов, есть план ее дальнейшего развития.
Также был представлен проект для одного из банков на территории СНГ, имеющего удаленные отделения, в ходе которого была выполнена автоматизация кредитного конвейера. Сейчас систему использует порядка 200 сотрудников.
Кроме того, на базе EcoS компания Citeck построила электронный архив в логистической компании. По словам Антона Иванова, сейчас, когда система проходит опытную эксплуатацию, текущий размер репозитория составляет 200 Гб, а года через полтора будет порядка 5 Тб.
СПО-продукты — от офисных приложений до инфраструктурного ПО
Один из мифов, затрудняющих продвижение Open Source, заключается в утверждении, что помимо Linux в области СПО мало что есть. Судя по докладам на конференции, с открытым кодом сейчас продвигается множество продуктов — от пользовательских приложений до инфраструктурных систем: как в виде бесплатного софта от СПО-сообществ, так и в качестве интегрированных решений с поддержкой компаний.
Так, независимый эксперт Станислав Погоржельский привел в качестве примера целый ряд СПО-приложений, которые предприятия могут использовать для решения насущных задач: OpenOffice в качестве офисного пакета, Zabbix или Nagios для сетевого мониторинга, Asterisk или FreePBX для телефонии, Zimbra для корпоративной почты. Есть и комплексные СПО-пакеты, включающие интегрированный набор решений: GroupWare, Zentyal, SugarCRM.
Как подчеркнул Станислав Погоржельский, достаточно установить эти продукты на любое оборудование (сервер, ПК, тонкий клиент, ноутбук или нетбук) и можно сэкономить на лицензиях, а на освободившиеся деньги нанять специалистов, которые будут решать задачи бизнеса и оперативно выполнять доработки ПО, не дожидаясь, пока вендор все исправит.
Примеры инфраструктурных СПО-решений привел Дмитрий Варенов, начальник отдела программных решений департамента вычислительных комплексов компании «Ай-Теко». Так, для централизованного администрирования и управления жизненным циклом систем Linux предназначена корпоративная платформа «Спутник», на которой локально хранятся профили всех машин на базе Linux, и администратор через веб-интерфейс может удаленно решать задачи управления прикладным ПО, включая реализацию новых политик безопасности, контроль версий ПО и его настройку, а также развертывание новых сервисов на серверах — как «железных», так и виртуальных под управлением гипервизоров KVM или VMware. Сейчас «Спутник» находится на стадии релиз-кандидата.
Кроме того, «Ай-Теко» предлагает корпоративное облачное хранилище, основанное на СПО OwnCloud, которое поставляет не вендор, а сообщество. По словам Дмитрия Варенова, OwnCloud размещается в ЦОДе клиента или «Ай-Теко» и обеспечивает такой же функционал, как у сервиса Dropbox, плюс предоставляется клиентское ПО под настольные и мобильные ОС, которое работает прозрачно для пользователей.
В настоящее время все более популярной становится технология виртуализации на основе контейнеров. Одним из пионеров в этой области является компания Parallels со своим проприетарным продуктом Virtuozzo Containers и его СПО-версией OpenVZ. Недавно в жизни компании произошли важные события.
Во-первых, Parallels разделилась на два отдельных бренда: направление кроссплатформенных решений будет развиваться под брендом Parallels, а сервис-провайдерное направление теперь связано с брендом Odin. Так что Virtuozzo теперь продвигается как продукт от Odin. «Ребрендинг направлен на разделение двух направлений бизнеса — для индивидуальных пользователей и для провайдеров», — объяснил Сергей Члек, директор Odin по продажам в России и СНГ и добавил, что это также связано с политикой импортозамещения. «Odin может считаться российской компанией, потому что весь программный код российский», — пояснил он.
Во-вторых, недавно Odin/Parallels решила открыть коды Virtuozzo и передать их сообществу, которое сформировалось вокруг OpenVZ . «Теперь пользователи OpenVZ могут получить от нас поддержку на коммерческой основе, не покупая Virtuozzo», — сказал Сергей Члек.
По его словам, в рамках Virtuozzo поддерживаются не только контейнеры, но и гипервизор: «Это тот же наш гипервизор, который на компьютерах Mac позволяет запускать Windows».
В России Odin будет предлагать Virtuozzo для корпоративного рынка и госсектора в партнерстве с российскими интеграторами, разработчиками и поставщиками оборудования. В качестве примера Сергей Члек привел альянс с компанией IBS, в рамках которого реализуется вышеупомянутый проект в Федеральной налоговой службе.
Что мешает расцвету СПО?
Казалось бы, сегмент СПО предлагает сегодня многое из того, что нужно заказчикам — большой выбор продуктов, возможность сэкономить на лицензиях, поддержку специалистов, сертифицированные решения. Почему же не происходит массового перехода на открытый софт?
По мнению участников конференции, этому препятствует ряд проблем. Одна из них — организационная, связана с отсутствием вендора, который активно занимается рекламой, развивает партнерскую сеть, создает центры компетенции, находит способы напрямую взаимодействовать с заказчиками.
В случае СПО такой игрок отсутствует. «Остается СПО-сообщество, независимые компании и интеграторы, но все они имеют свои интересы. В отсутствие проприетарного вендора мы лишаемся активного игрока на рынке», — считает Сергей Буш, генеральный директор компании «Лаборатория Систем 321». По его мнению, нужны организации, которые играют на рынке роль коллективного вендора, такие как РАСПО. Пока этого не случится, массового перехода в России на СПО не будет.
В качестве примера он привел сообщество, которое сформировалось вокруг СПО-системы SugarCRM, которую применяют 1,5 млн. пользователей из более чем100 тыс. организаций. При этом в самой компании SugarCRM работает всего 400 человек, но число независимых разработчиков достигает 30 тыс. Другими словами, основная сила этого продукта — в сообществе, которое способствует росту его популярности. Так, недавно IBM закончила трехлетний переход с Oracle Siebel на SugarCRM, в России SugarCRM используют в банках «Открытие» и «Уралсиб», присматриваются к этой системе в ВТБ.
По мнению Сергея Буша, у нас организационной формой взаимодействия СПО-компаний может стать консорциум, который займется интеграцией решений, выпуская их под одной маркой, и будет выходить на конкурсы. Кроме того, консорциум стал бы более солидной и весомой организацией, чем маленькая СПО-компания, которая у заказчика не может пробиться дальше ИТ-директора. «Чтобы от вас нельзя было отмахнуться, сказать — вы маленькие и мы вас не знаем, участникам рынка СПО нужно объединяться, вырабатывать бизнес-подходы, обучать продавцов, маркетологов, консалтеров. И тогда это даст толчок к росту рынка», — уверен Сергей Буш.
Другая проблема носит этический характер. По мнению Владимира Слыщенкова, старшего юриста юридической компании «Васлекс», открытый и закрытый софт различается с точки зрения этики и коммерциализации: «Проприетарное ПО создается ради денег, позволяет делать состояния и получать огромную прибыль, так как ПО рассматривается, как частная собственность, а основной доход правообладателей формируется из платежей за использование программ».
В области СПО подход совершенно другой. Он согласуется со свободой информации и свободой творчества, защищает интересы пользователей, позволяет создавать софт благодаря сотрудничеству между разработчиками и признает общественное значение продуктов. Такое ПО дает возможность зарабатывать деньги, но не состояния, основной доход разработчиков формируется от платежей за создание программ по индивидуальным заказам, а также за услуги по обучению и технической поддержке.
Но в нашей стране, по мнению Владимира Слыщенкова, наблюдается утилитарный подход, и СПО рассматривается как способ зарабатывать серьезные деньги — надежда возлагается на госзаказ и господдержку. При этом уровень участия в западных СПО-проектах невысок, а самостоятельная разработка оригинальных свободных программ вообще отсутствует. «Поэтому в значительной степени российская отрасль СПО функционирует по модели производства и распространения закрытого ПО, и из-за нехватки деятельных сообществ вокруг собственных открытых проектов российская отрасль СПО обречена на догоняющее развитие», — отмечает г-н Слыщенков.
Он считает, что попытки обосновать СПО различными конъюнктурными соображениями не учитывают принципиальное отличие СПО от закрытого ПО: «Ссылки на внешние цели, такие как развитие отечественных производителей ПО, импортозамещение, финансовая экономия, информационная безопасность, могут с равным успехом оправдывать использование закрытого ПО и не дают оснований для использования СПО».
Выход из такой ситуации Владимир Слыщенков видит в государственной поддержке СПО, но не в форме госзаказа, когда вместо отрасли выгоду получают отдельные коммерческие организации, а в создании условий для разработки СПО, которые направлены на популяризацию и общественное признание ценности открытого софта, а также на самоорганизацию сообществ разработчиков вокруг оригинальных СПО-проектов.
По мнению Владимира Слыщенкова, следует рассматривать СПО как научные исследования, которые во всем мире спонсируются государством: «В настоящее время возможной формой эффективной господдержки российской отрасли СПО может стать предоставление разработчикам грантов на безвозвратной основе для создания оригинальных свободных программ».