Почему в госпроекте смена порта занимает 6 недель, а Docker проходит архитектурный комитет — и что это значит для вашего бизнеса

Только 5 из 25 крупных госкомпаний завершили переход на отечественное ПО к концу 2024 года. Глобальный рынок GovTech достиг $3,1 млрд в первом квартале 2026-го. Если вы строите продукт для госсектора или думаете об этом — вот что вас ждёт под капотом.

Мы работаем и с коммерческими, и с государственными заказчиками. Одни и те же технологии — Docker, Java, PostgreSQL, Kubernetes — живут в этих двух мирах по совершенно разным правилам. Разница не в стеке, а в скорости принятия решений и степени свободы команды. Разбираю, как это устроено на практике и почему это важно для бизнеса.

В коммерческом продукте CTO открывает документацию, сравнивает варианты, запускает proof of concept — и через неделю команда пишет код. В госпроекте технологический стек формируется задолго до первой строчки кода.

Требования фиксируются в конкурсной документации — часто людьми, которые не будут писать код. Тендерное ТЗ может содержать строку «система должна быть реализована с использованием контейнеризации Docker» — и это юридически обязывающее требование. Изменить его после подписания контракта — отдельный бюрократический квест.

С 2025 года все крупные ИТ-расходы федеральных ведомств проходят обязательное согласование подкомиссии по цифровой трансформации. Выбор между PostgreSQL и MongoDB — не технический спор, а вопрос, который может дойти до уровня заместителя министра.

Что это значит для бизнеса: если вы заходите в GovTech как подрядчик, ваш стек определён ещё до того, как вы увидели задачу. Закладывайте это в оценку и ресурсное планирование.

Java доминирует в российском GovTech не потому, что это лучший язык, а потому, что вокруг неё сложилась экосистема доверия.

Совместимость с legacy. Большинство государственных систем написаны на Java в 2000–2010-х. Переписывать их на Go или Kotlin — проект на годы. Показательный кейс Ростеха 2024–2025: при переводе АС ФЗД на импортонезависимый стек команда из 100+ специалистов сохранила Java как основу, заменив обвязку — Oracle на PostgreSQL, монолит на микросервисы с Kafka.

Кадровый рынок. Найти 15 Java-мидлов в Москве реально за месяц. Найти 15 Scala-разработчиков — задача на полгода. Для госконтракта, где подрядчик обязан обеспечить команду определённого размера, это критично.

Регуляторные требования. Указ №166 с 2025 года запрещает иностранное ПО на объектах КИИ. Oracle JDK — иностранное. Это привело к появлению российских дистрибутивов: Axiom JDK, «Фантом» от BaseALT. Разница с OpenJDK — не в коде (95% идентичен), а в юридическом статусе и SLA.

Практическое следствие: версионирование привязано не к релизному циклу OpenJDK, а к скорости сертификации вендора. Java 25 вышла — а сертифицированный JDK на её базе может появиться через 6–12 месяцев.

Docker прописан в ТЗ. Docker указан в архитектурной документации. Но между «Docker в документе» и «Docker в продакшене» — пропасть.

Типичная ситуация: контейнеризация заложена, но инфраструктура к ней не готова. Серверы настроены под классический деплой. Сетевые политики не учитывают Docker-сети. Служба ИБ не понимает, как контролировать содержимое контейнера.

В коммерческом проекте Docker — это docker-compose up в первый день и CI/CD через неделю. В госпроекте — три месяца согласований политики образов, создание внутреннего реестра и написание регламента обновлений.

Закрытый контур усиливает проблему. Docker Hub недоступен. Всё, что нужно для сборки, должно быть внутри периметра. Базовые образы загружаются через «шлюзование»: скачивание → проверка ИБ → перенос на физическом носителе → загрузка во внутренний реестр. Цикл — от нескольких дней до нескольких недель.

Пропустил одну транзитивную зависимость — сборка падает, а цикл «запросить загрузку → проверка ИБ → получить артефакт» стартует заново.

Мы видели проекты, где Kubernetes развёрнут — ноды работают, pod'ы запущены, — но CI/CD отсутствует. Деплой выполняется вручную: разработчик собирает образ, передаёт через защищённый канал, администратор применяет манифесты руками.

Почему? Автоматизация деплоя предполагает, что CI/CD-система имеет доступ к продуктивному кластеру. В контексте госбезопасности это «автоматический доступ внешней системы к ИС, обрабатывающей ПДн или гостайну». Каждый такой доступ требует отдельного согласования и аттестации.

В коммерции pipeline от коммита до прода — 15 минут. В госпроекте релиз — раз в квартал с ручным тестированием и подписанием акта приёмки.

Это ключевое, что нужно понять предпринимателю или CTO, заходящему в GovTech: бюрократия определяет архитектуру так же сильно, как нагрузка или отказоустойчивость.

Монолит вместо микросервисов. Если архитектура разбита на 20 микросервисов и нужен 21-й — это формальное изменение состава системы. Допсоглашение, повторное согласование, сдвиг сроков. Модульный монолит проходит проще: меняется внутренняя организация кода, а не состав системы.

PostgreSQL вместо MongoDB. Для PostgreSQL существуют сертифицированные версии (Postgres Pro, Jatoba). Для MongoDB ситуация сложнее. Выбор NoSQL нужно обосновывать отдельно.

Rollback-стратегии под аудит. Каждое изменение в продакшене документируется и должно быть обратимо. Blue-green deployment — не только техническая практика, но и способ обеспечить аудируемый откат.

Работает:

Работает с ограничениями:

Не работает:

GovTech — не лучше и не хуже коммерции. Это другая среда с другими правилами. Вот что помогает:

Рынок GovTech растёт, спрос на специалистов, которые понимают оба мира, будет увеличиваться. Понимание этих правил — конкурентное преимущество и для подрядчиков, и для продуктовых команд, выходящих на государственный рынок.

https://vibelab.ru

Подписывайся на Телеграм Вайблаб, чтобы наблюдать за тем, как мы строим AI-first компанию.

Напишите нам напрямую