Управляющий директор ООО "Р-Платформа" Сергей Члек с трибуны форума Smart Mining & Metals 2022 предложил скачать весь софт, доступный в интернете - с тем, чтобы все продукты open source оказались в границах России. "Нужно развернуть в эту сторону все СХД, построенные по "закону Яровой" - от записи операторского трафика к хранению всех продуктов open source ", - отметил он. Сергей Члек добавил, что государство должно выступить не просто создателем российского GitHub, а взять на себя очистку всего софта, полученного из интернета.
Генеральный директор компании Web Control Андрей Акинин с этом категорически не согласен: "Вы предлагаете скачать мировой океан open source и загнать его в океанариум. Это порочный путь, и он не даст добавленной стоимости. Нужно не выкачивать в Россию весь open source, а привлекать сюда разработчиков продуктов с открытым исходным кодом. Нам нужен не рыбхоз, а такой же открытый океан, в котором будут расти новые стартапы. И чтобы разработчики, которые уехали из РФ после 24 февраля, вернулись ".
Руководитель центра монетизации данных ПАО "Газпром нефть" Анжей Аршавский рассуждает: "В условиях открытого мира никто не будет пользоваться искусственно созданным ресурсом - все будут тянуться к таким мировым центрам притяжения, как GitHub. Конечно, для того, чтобы митигировать риски, нужно создать некоторый репозиторий в границах России. Готовиться надо всегда к худшему, но надеяться - на лучшее ".
Председатель совета директоров "Базальт СПО" Алексей Смирнов в шутку предложил не ограничиваться архивированием всего ПО: "Ведь есть же "архив всего интернета", и использовать для этого ресурсы, выделенные на "закон Яровой" - остроумная идея. Правда, "архив всего интернета" на территории России противоречит задачам, которые решает Роскомнадзор. Раз уж заговорили об оригинальных идеях, могу предложить направлять деньги с "налога Михалкова", которые платят со всех носителей информации, на поддержку отечественных разработчиков свободного ПО. Ведь на носители информации пишут не только песни и фильмы, но и программное обеспечение. А если серьезно, в России уже есть "зеркала", в том числе - и свободного ПО, например у "Яндекса". Но дело не в том, чтобы собрать и законсервировать все исходные коды, а в том, чтобы с ними продолжали работать команды квалифицированных разработчиков. Сотрудничество с международными проектами СПО тут критически важно, мы все свои доработки коммитим в международные проекты. Идея все скопировать, а дальше все делать самим в отрыве от международных проектов - провальна".
Независимый эксперт на телеком и ИТ-рынке Вадим Плесский поддержал идею Сергея Члека. "Это правильная инициатива. Ключевые компетенции должны быть в России, и ими должны обладать российские специалисты. Весь Github скачивать и "осваивать" не нужно. Хотя резервная копия его содержимого, на случай тотального отключения России от интернета западными провайдерами (нарушения связности сети), в России быть должна. - считает от. - По каждому из проектов, составляющих основу серверного стека технологий, и по десктопным продуктам, необходимо создать "центры компетенций", которые будут способны самостоятельно, без помощи зарубежных специалистов, развивать и поддерживать эти компоненты. Касательно "очистки" - за последние 30 лет в сообществе open source было накоплено много "мусора". Его нам наследовать не нужно. Какие-то из имеющихся проектов, вероятно, имеет смысл переработать, переписать на более современные языки и фреймворки, дополнить и расширить функционал. Принимать решения, на чем фокусироваться, должны именно эти центры компетенций. Причем в идеале они должны быть не при некоторых компаниях, а независимые, с целенаправленным финансированием конкретных проектов и разработчиков. В данной ситуации (контекст "спецоперации") – "закон Яровой" сослужил хорошую службу всем российским компаниям. Сейчас под выполнение "закона Яровой" закуплено и установлено большое количество оборудования. Если его высвободить, как образно предложил Сергей Члек, то можно реализовать масштабные проекты, без закупок дополнительного оборудования, которое просто негде сейчас купить".
ИT-консультант, индивидуальный предприниматель Дмитрий Кашин рассказал, что исходный код любого проекта - это живой продукт, который постоянно развивается. "Миллионы людей по всему миру ежедневно находят и исправляют уязвимости (CVE) и ошибки (bugs), а также реализуют дополнительный функционал (features). Потому единоразово скачать исходный код смысла мало: синхронизацию с основным репозиторием каждого проекта (upstream) нужно делать более-менее регулярно, ведь CVE в массе не являются закладками, а появляются в продуктах вследствие недоработок. Недостаточно просто скачать исходный код. Нужно делать это регулярно. - пояснил он. - Код, который невозможно собрать - бесполезен. А наличие исходного кода не гарантирует того, что из него можно будет собрать пригодную к использованию программу. Так, например, проекты на языке Java имеют список бинарных (уже собранных из исходных кодов) зависимостей, которые должны быть скачены из репозитория Maven для сборки проекта. Это означает, что для сборки Java-проекта обязательно нужно будет поднять зеркало репозитория Maven. А центральный репозиторий Maven не просто не предоставляет инструмента для этого, но и прямо запрещает зеркалирование. Аналогичную ситуацию можно встретить во многих современных IT-практиках. Например, зачастую современный софт собирается в контейнерах, то есть для сборки нужно зеркало DockerHub. Недостаточно создать зеркало репозиториев исходного кода. Нужно также обеспечить зеркалирование специфичных бинарных репозиториев".
Дмитрий Кашин отметил, что подобная инициатива будет стоить очень дорого, и все равно не избавит Россию от зависимости от зарубежных вендоров ПО. "И это мы еще даже не начинали говорить о поддержке систем непрерывных сборки-доставки (т.н. CI/CD), которые сильно разнятся от проекта к проекту. Страх того, что зарубежные вендоры перекроют доступ к сервисам, программным продуктам и исходному коду - вполне понятен, поскольку они уже это делают. Например, Hashicorp Cloud Plantorm был недоступен для пользователей из РФ еще в 2020 г. Тем не менее, покуда есть связность сети, это не является большим препятствием для работы российской IT-индустрии: всегда есть возможность развернуть заграничный VPN и пустить траффик через него. Это как серый импорт: товар всегда найдет дорогу туда, где он востребован. Но если с физическими товарами всё сложно, то в IT-индустрии особенных проблем с этим нет", - прокомментировал Дмитрий Кашин.
"Безусловно, отдельные проекты могут перейти на полностью закрытый цикл производства ПО: можно скачать все зависимости отдельно взятого проекта, и работать только с ними. Но в этом случае возникнет чрезвычайно много накладных расходов: во-первых компании придется перестроить свои сборочные сценарии, а во-вторых потребуется наладить бизнес-процессы по регулярному анализу изменений скаченных извне зависимостей, чтобы своевременно портировать в продукты исправления уязвимостей. И здесь есть очень много подводных камней, чтобы оступиться. Большинство из тех, кто делают заявления о полном переходе на закрытый цикл производства ПО - обычно лукавят, и либо перешли не полностью, либо пренебрегли безопасностью. Примеров обратного крайне мало. Помимо создания зеркал на территории РФ, существует еще вариант с развертыванием кэширующих прокси-серверов. Он размещается локально, перенаправляет на внешний ресурс запросы отсутствующих в нем файлов, и сохраняет их в кэше для того, чтобы при повторном запросе отдать их, не обращаясь ко внешнему ресурсу. Наши текущие решения проблем с доступом пока включают в себя кэширующие прокси-сервера и VPN-туннели, обходятся сравнительно дешево и обеспечивают достаточную отказоустойчивость, чтобы производственные процессы не прервались в случае эксцессов с прямым сетевым доступом до критически важных зарубежных серверов", - подвел итог Дмитрий Кашин.
Юлия Мельникова