Статьи
2021-08-02 08:00

Open Source: какие риски стоят денег?

Все больше компаний используют в#nbsp;своей практике open source. Чем он#nbsp;привлекает бизнес? Казалось#nbsp;бы, ответ в#nbsp;названии: свободой использования и#nbsp;бесплатностью. Но#nbsp;опытные приверженцы знают, что с#nbsp;открытым#nbsp;ПО не#nbsp;так все просто. И#nbsp;согласие иметь дело с#nbsp;ним означает необходимость погружаться в#nbsp;глубины технологий, тратить деньги и#nbsp;время команд. Как к#nbsp;этой особенности адаптировались компании?
Источник — СNews
Идея открытого и#nbsp;бесплатного софта к#nbsp;2021#nbsp;г.#nbsp;изменилась окончательно. В#nbsp;мире#nbsp;ИТ осталось мало проектов, которые не#nbsp;имели#nbsp;бы за#nbsp;спиной компаний, выполняющих роль основного коммитера. Изначально свободные решения сегодня покупаются корпорациями и#nbsp;становятся частью корпоративных экосистем. Бесплатность open source#nbsp;— практики это подтверждают,#nbsp;— условна. Получается, что открытое бесплатное программное обеспечение и#nbsp;не#nbsp;свободное, и#nbsp;платное?

Почему все хотят open source?

Open source пришел к#nbsp;нам из#nbsp;мира интернета. Небольшие интернет-компании не#nbsp;могли позволить себе дорогие коммерческие продукты и#nbsp;брали open source, вкладываясь в#nbsp;собственную разработку. Скорость изменений была и#nbsp;остается для#nbsp;них культом и#nbsp;способом выживания. Когда эту ценность стал разделять enterprise-сегмент, он#nbsp;тоже начал пользоваться инструментами свободного#nbsp;ПО.
«Главными проводниками и#nbsp;двигателями open source в#nbsp;ИТ являются разработчики. И#nbsp;это понятно: многие продукты со#nbsp;свободным кодом созданы в#nbsp;парадигме unix way, когда каждый продукт отлично справляется с#nbsp;одной задачей. ИТ-ландшафт сегодня компаний усложняется, он#nbsp;состоит из#nbsp;небольших компонентов, которые в#nbsp;совокупности дают наиболее эффективное решение. Кроме того, сила open source-проектов#nbsp;— в#nbsp;постоянном улучшении. Например, с#nbsp;одним только Kubernetes работают больше 3 тысяч контрибьюторов. Не#nbsp;каждому вендору по#nbsp;силам иметь такой многочисленный штат специалистов, вкладывающихся в#nbsp;один-единственный продукт. Соответственно, производитель#nbsp;ПО не#nbsp;может обеспечить такую#nbsp;же космическую динамику развития того или иного софта».

Александр Краснов, руководитель лаборатории DevSecOps «Инфосистемы Джет».
Получается, что тысячи заинтересованных людей создают новые продукты и#nbsp;фичи в#nbsp;ответ на#nbsp;вызовы конкретного бизнеса. Это делает open source инструменты максимально близкими к#nbsp;эталонным решениям самых насущных задач.

Свежее исследование «Положение открытого#nbsp;ПО в#nbsp;крупных коммерческих компаниях» от#nbsp;Red Hat говорит, что сегодня 90% лидеров ИТ-индустрии используют open source, применяя его для:

—#nbsp;модернизации ИТ-инфраструктуры (64%),

—#nbsp;разработки приложений (54%)

—#nbsp;цифровой трансформации (53%).

Пандемия только подстегнула эту тенденцию. Переход к#nbsp;удаленной работе вынудил многие организации увеличить усилия по#nbsp;цифровой трансформации, а#nbsp;значит, и#nbsp;усилил проникновение открытого#nbsp;ПО на#nbsp;предприятиях. Например, растет использование условно-бесплатного Kubernetes, так как бизнес все чаще использует технологии контейнеризации.

В#nbsp;Red Hat считают, что инфраструктура, основанная на#nbsp;контейнерах и#nbsp;Kubernetes, является основой новой волны разработки приложений и#nbsp;ключом к#nbsp;цифровой трансформации. Этот тезис подтверждает и#nbsp;опыт Сбербанка в#nbsp;Казахстане.
«Наш мобильный банк уже много раз признавался лучшим в#nbsp;Казахстане. Переход на#nbsp;приложение с#nbsp;микросервисной архитектурой#nbsp;— еще один шаг на#nbsp;пути кардинального развития мобильного банкинга. Это открывает для#nbsp;нас перспективы по#nbsp;выводу нового функционала: мы#nbsp;ускорим Time-To-Market, не#nbsp;повлияв при этом на#nbsp;взаимодействие клиентов с#nbsp;банком».

Нурсултан Таскаранов, заместитель председателя правления#nbsp;ДБ Сбербанка.

Проприетарное#nbsp;ПО начинает и#nbsp;проигрывает?

У «Леруа Мерлен» сегодня имеется серьезная экспертиза в#nbsp;вопросе адаптации свободного#nbsp;ПО. Почти все инфраструктурное и#nbsp;APLM commodity#nbsp;ПО построено именно на#nbsp;базе открытого софта. Это и#nbsp;базы данных (Mongo, PostgreSQL, Kassandra и#nbsp;пр.), и#nbsp;BPM Kamunda, и#nbsp;системы обмена сообщениями, и#nbsp;PaaS, и#nbsp;ПО для#nbsp;оркестрации микросервисов (OpenStack, K8S).
Как ритейлер выбирает, какие задачи решать с#nbsp;помощью open source, а#nbsp;какие#nbsp;ПО от#nbsp;вендора? Все корпоративные системы этой компании можно разделить на#nbsp;группы в#nbsp;соответствии с#nbsp;тем, каким образом они отвечают на#nbsp;вызовы бизнеса.
Одни автоматизируют уникальные процессы, являющиеся конкурентным преимуществом и#nbsp;ноу-хау, и#nbsp;их#nbsp;разработка происходит, как правило, на#nbsp;открытом стеке. И#nbsp;есть системы, которые поддерживают обслуживающие функции бизнеса. Самый распространенный пример последних#nbsp;— это бухгалтерия и#nbsp;финансовый учет.
«Большинство проприетарных бизнес-приложений удобны тем, что уже адаптированы к#nbsp;быстро меняющемуся законодательству. Но#nbsp;если целевые процессы компании не#nbsp;ложатся в#nbsp;логику покупаемых систем, то#nbsp;начинаются масштабные проекты по#nbsp;скрещиванию „ужа с#nbsp;ежом“. В#nbsp;итоге тратятся деньги и#nbsp;время, а#nbsp;еще появляются риски, связанные с#nbsp;поддержкой и#nbsp;обновлениями. В#nbsp;этом случае значительная ценность проприетарного#nbsp;ПО (поддержка и#nbsp;сильная внешняя экспертиза)#nbsp;— просто теряется».

Александр Бондарик, CPO Platformeco.

Реальная стоимость чистого open source

Выгоды и#nbsp;факторы, определяющие интерес к#nbsp;свободному софту понятны. Например, в#nbsp;«Российском союзе автостраховщиков» при создании АИС ОСАГО обращение к#nbsp;open source имело экономические цели.
«При разработке платформы стоял вопрос экономии бюджета и#nbsp;в#nbsp;будущем мы#nbsp;хотели быть максимально независимыми от#nbsp;конкретного разработчика. Именно поэтому мы#nbsp;и#nbsp;выбрали open source».

Евгений Уфимцев, исполнительный директор РСА.
Но#nbsp;важно держать в#nbsp;голове простой факт: такие продукты не#nbsp;бесплатны. Нужны адаптация, интеграция, поддержка#nbsp;— и#nbsp;тут начинаются траты. Компания платит своим временем. Требуется собственная экспертиза, чтобы разобраться с#nbsp;продуктом. Специалисты на#nbsp;рынке тоже не#nbsp;самый доступный ресурс.
«Находить высококвалифицированных инженеров сейчас непросто. Рынок перегрет, и#nbsp;пока что становится только хуже»

Александр Бондарик, CPO Platformeco.
Возникают сложности не#nbsp;только с#nbsp;интеграцией, но и#nbsp;с#nbsp;эксплуатацией. Технологии open source и#nbsp;крупный бизнес#nbsp;— это две разные идеологии. И#nbsp;основные трудности возникают из-за конфликта возможностей open source и#nbsp;требований крупного бизнеса к#nbsp;надежности.
«Приведу пример из#nbsp;проекта построения ИТ-инфраструктуры под новую АИС ОСАГО. Разработчики запросили СУБД PostgreSQL. А#nbsp;нам нужно гарантировать отказоустойчивость, а#nbsp;значит, создать кластер. Но#nbsp;в#nbsp;составе этой СУБД нет средств по#nbsp;организации кластера высокой доступности. Тогда в#nbsp;ход пошли сторонние ИТ-инструменты. Из#nbsp;этого возникла вторая задача, продиктованная высокими стандартами надежности,#nbsp;— защита от#nbsp;логических сбоев кластера. И#nbsp;это тоже вызов, потому как возможности резервного копирования в#nbsp;СУБД не#nbsp;отвечают требованиям эксплуатации крупных компаний».

Александр Краснов
При этом проверенные временем корпоративные системы резервного копирования ограниченно поддерживают резервное копирование и#nbsp;восстановление кластерных конфигураций БД, для#nbsp;управления которыми используется кластер PostgreSQL. В#nbsp;итоге появилось решение на#nbsp;основе#nbsp;ПО Patroni и#nbsp;Commvault.

Бесплатное открытое#nbsp;ПО имеет свою не#nbsp;всегда проявленную стоимость. Она складывается из#nbsp;затрат на#nbsp;обучение специалистов, которые будут разрабатывать новый функционал и#nbsp;поддерживать#nbsp;ПО. Кроме того, нужно помнить: если с#nbsp;опенсорсным внедрением что-то случится, то#nbsp;просить о#nbsp;помощи будет не#nbsp;у#nbsp;кого и#nbsp;ИТ-команде придется разбираться с#nbsp;проблемами самостоятельно.
«У#nbsp;нас использовалась СУБД с#nbsp;открытым кодом Cassandra в#nbsp;архитектуре сложного нагруженного real-time аналитического решения. Внутренние ресурсы не#nbsp;справились с#nbsp;операциями и#nbsp;оптимизацией системы. После определенного порога нагрузки стало сложно поддерживать высокую доступность системы. На#nbsp;рынке не#nbsp;оказалось доступных компетенций, приглашенные интеграторы также не#nbsp;смогли решить задачу. Пришлось менять архитектуру и#nbsp;решение уже на#nbsp;поздних этапах#nbsp;— эксплуатации зрелого продукта».

Александр Бондарик
По#nbsp;мнению Андрея Пономарева, начальника управления IaaS Росбанка, структура затрат при использовании open source может быть иной#nbsp;— в#nbsp;банке используется Red Hat Openshift:
«Можно сказать, что разработчики полностью перестали тратить время на#nbsp;инсталляцию и#nbsp;конфигурирование платформы. Да, состав команд вырос за#nbsp;счет появления в#nbsp;каждой из#nbsp;них DevOps-инженера. Но#nbsp;в#nbsp;результате весь пласт работы с#nbsp;операционными системами, их#nbsp;обновлением, настройкой#nbsp;ПО просто исчез. Все, о#nbsp;чем необходимо заботиться,#nbsp;— это написание скриптов выкладки, тестирования и#nbsp;прохождения CI/CD-конвейера. Все остальные задачи выпали из#nbsp;обязанностей проектной команды и#nbsp;о#nbsp;них не#nbsp;надо задумываться».
«Мы#nbsp;опросили 108 крупных компаний о#nbsp;сложностях покорения технологий контейнеризации. 44% наших респондента имеют дело с#nbsp;„ванильным“ Kubernetes. И#nbsp;когда они говорили о#nbsp;трудностях, отмечали проблемы надежности (27%), обеспечение безопасности (25%), и#nbsp;далее по#nbsp;убыванию: сложности с#nbsp;сетевым взаимодействием, хранением, масштабированием, отказоустойчивостью».

Александр Краснов
Открытое#nbsp;ПО необходимо тестировать на#nbsp;совместимость с#nbsp;другими приложениями и#nbsp;системами компании. В «Леруа Мерлен» это происходит в#nbsp;рамках регрессионного тестирования на#nbsp;стейджинге приложений. Выравнивание и#nbsp;совместимость#nbsp;— ресурсозатратная, но#nbsp;необходимая активность. На#nbsp;такие процессы ритейлер выделяет время команд.

Поддержка стека open source также становится нетривиальной задачей.
«Продуктов с#nbsp;открытым исходным кодом крайне много, в#nbsp;случае проблем и#nbsp;вопросов компании остаются с#nbsp;ними наедине. Получается, поддержка требует экспертизы по#nbsp;каждому из#nbsp;используемых продуктов. Накапливать ее#nbsp;у#nbsp;себя? Это дорого. Поэтому часто логичным шагом для#nbsp;бизнеса становится передача обслуживания open source во#nbsp;вне. Это яркий тренд, потому что по#nbsp;сравнению с#nbsp;2019#nbsp;г.#nbsp;это направление бизнеса в#nbsp;нашей компании выросло на#nbsp;25%».

Александр Краснов из#nbsp;«Инфосистемы Джет»

Планы насмарку

Открытое#nbsp;ПО может сработать отлично, а#nbsp;может и#nbsp;не#nbsp;взлететь. Иногда получается очень удачно.
«Один из#nbsp;успешных примеров#nbsp;— замена проприетарной системы API менеджмента на#nbsp;Open Source based. Это оказалось дешевле в#nbsp;полтора раза с#nbsp;точки зрения расходов на#nbsp;персонал и#nbsp;лицензии. Появились возможности коллаборации и#nbsp;доступ к#nbsp;бэклогу продукта. Проблемы отсутствия критически важного для#nbsp;нас функционала не#nbsp;было. Кроме того, удалось избежать рисков из-за изменения вендором курса развития софта».

Александр Бондарик
Сложность#nbsp;же заключается в#nbsp;том, что спланировать все траты на#nbsp;старте не#nbsp;выходит. Затраты очень зависят от#nbsp;продукта#nbsp;— где-то получается «дешево отделаться», а#nbsp;местами использование open source выходит значительно дороже, чем покупка проприетарного#nbsp;ПО.
«Посчитать затраты не#nbsp;так-то просто. Применение инструментов open source мало похоже на#nbsp;внедрение, скорее это новая культура плавного изменения инструментария и#nbsp;ландшафта предприятия. Для#nbsp;себя мы#nbsp;поняли, что за#nbsp;гибкость и#nbsp;свободу приходится расплачиваться большей ответственностью и#nbsp;усилиями. При использовании open source нужно принимать риски отказа систем из-за не#nbsp;обнаруженных вовремя проблем, возможную нехватку внешних ресурсов, готовых оперативно устранить инцидент, думать о#nbsp;сложностях при обновлении#nbsp;ПО и#nbsp;об#nbsp;уязвимостях. Рассчитывать приходится в#nbsp;основном на#nbsp;себя. Надо иметь экспертизу внутри компании или надежного партнера, быть готовыми тратить большую часть бюджета на R&D и#nbsp;сугубо технические задачи, без видимой и#nbsp;прямой монетарной ценности».

Александр Бондарик
Единого ответа об#nbsp;open source entreprise нет. В#nbsp;каждом отдельном случае нужно взвешивать плюсы и#nbsp;минусы, риски и#nbsp;профит. И#nbsp;здесь важно помнить: ценность и#nbsp;затраты не#nbsp;лежат не#nbsp;поверхности. Многое зависит от#nbsp;курса развития вендора, геополитических рисков, связи с#nbsp;энтропией окружающей экосистемы, критичности обновления и#nbsp;уязвимостей, распространенности экспертизы на#nbsp;рынке.

Сергей Майдебура, директор по#nbsp;цифровой трансформации бизнеса компании «Байкал-Сервис#nbsp;ТК», считает, что сравнивать проприетарный и#nbsp;открытый софт напрямую неверно:
«Это разные ниши. ПО#nbsp;от#nbsp;известных вендоров имеет низкий порог входа в#nbsp;администрирование, соответственно, специалистов найти проще, но#nbsp;на#nbsp;определенном этапе эксплуатации администрирование по#nbsp;цене выравнивается. Зато в#nbsp;open source-решениях отсутствуют траты на#nbsp;сам софт».

Открыто, входите

С «бесплатностью» все понятно, а#nbsp;что с#nbsp;открытостью? Open source оказался под пятой корпораций? Microsoft, Google, Red Hat, IBM, Intel составляют топ-5 компаний, вкладывающихся в#nbsp;СПО в#nbsp;2021#nbsp;г. (по#nbsp;данным Open Source Contributor Index).
Все больше адептов свободного#nbsp;ПО не#nbsp;просто изменяют решения под себя, нарабатывают экспертизу и#nbsp;пользуются получившимися продуктами, но#nbsp;и#nbsp;занимаются тем, что коммитят новый код обратно, в#nbsp;общее пользование. Зачем ИТ-компаниям эта открытость?
Компании, владеющие open source продуктом, только выигрывают.
«С#nbsp;одной стороны, они обладают контролем над продуктом, и#nbsp;это дает гарантию его развития. Вендор будет делать доработки, и#nbsp;продукт сможет адаптироваться для#nbsp;решения тех или иных задач. С#nbsp;другой стороны, когда код остается открытым для#nbsp;сообщества, доработки появляются и#nbsp;без привлечения ресурсов вендора. В#nbsp;развитие вкладываются пользователи, взаимодействующие с#nbsp;инструментом, знающие его слабые места#nbsp;— такая работа очень ценна. Поэтому вендору точно нет смысла закрывать подобные проекты от#nbsp;сообщества»

Александр Краснов
Похожий ответ дают и#nbsp;представители «Леруа Мерлен». По#nbsp;их#nbsp;словам, выгода для#nbsp;бизнеса самая прямая: во-первых, если изменения не#nbsp;будут внесены обратно в#nbsp;репозиторий, новые обновления будут приходить без учета этих изменений. Во-вторых, больше шансов, что при масштабном использовании#nbsp;ПО другими участниками сообщества будут найдены дефекты.

Приверженцами open source стали как разработчики-энтузиасты, так и#nbsp;компании разных отраслей#nbsp;— ведь сегодня это самый демократичный метод разработки.

Мир быстро меняется и#nbsp;успешные организации стремятся этому соответствовать. Сегодня выигрывает тот, кто поощряет лучшие идеи, готов слышать честные советы, привлекать и#nbsp;сохранять самые яркие таланты#nbsp;— это и#nbsp;есть дух свободы и#nbsp;открытости, который лежит в#nbsp;основе open source. Эта идея отлично отражена в#nbsp;бестселлере «Открытая организация» Джима Уайтхёрста, топ менеджера компании Red Hat.
«Для#nbsp;компаний сейчас самое время использовать open source, поскольку одним из#nbsp;главных преимуществ#nbsp;ПО с#nbsp;открытым кодом является рентабельность. Благодаря этому подходу можно существенно сократить затраты на#nbsp;разработку или сделать эффективный апгрейд ИТ-инфраструктуры, а#nbsp;также получить быстрый доступ к#nbsp;новым технологиям. Открытый код дает независимость от#nbsp;конкретного поставщика (vendor lock), делает возможным быстро вносить изменения, и#nbsp;позволяет организациям даже с#nbsp;ограниченным бюджетом развивать собственные проекты».

Тимур Кульчицкий, региональный менеджер Red Hat, Россия и#nbsp;СНГ.