Наш техдир Серёжа Позитурин стал колумнистом! На портале IT-World.ru, в числе других экспертов ИТ-сферы, он честно рассказал о том, как мы пережили эту весну. А еще в статье — про опасности open source и альтернативный софт, который мы для себя нашли.
Как это было
В таких компаниях как наша люди - ключевой ресурс, и массовый исход специалистов, который случился после февраля, не прошел незамеченным. Некоторые компании релоцировали до 90% сотрудников, фрилансеры просто собирали семьи и уезжали. По моим оценкам, релокация затронула тысячи высококвалифицированных кадров, выбирать специалистов стало не просто трудно, а практически невозможно.
В такой ситуации мы находились несколько недель, после чего стали очевидными еще две вещи. Оценив риски, некоторые заказчики приняли решение свернуть проектную деятельность. Этот тренд все еще не остановился, и мы ждем нового оттока клиентов. И вторая история – часть наших заказчиков это зарубежные бизнесы, с которыми мы не можем больше совершать товарно-денежные обмены.
На первый взгляд, ситуация патовая, но оказалось, что в принципе всё не так страшно. Оправившись от первого шока, рынок начал оживать, стали появляться другие заказчики, открылись новые ниши. Парадокс, но кадровая проблема тоже начала решаться – на рынок массово вышли специалисты, работавшие в релоцировавшихся компаниях. Бизнесы, которые до событий только подумывали об импортозамещении, взялись за реализацию своих планов, и они активно поддерживаются все более растущим спросом на внутреннее производство. Мы получили возможности для реализации себя в чисто российских проектах - это хорошие долгосрочные контракты.
Опасные коды
В ИТ есть понятие «open source» – это программное обеспечение, разработанное по принципу открытого исходного кода. В оpen source приходят сотни контрибьюторов, которые вливают в софт свои усовершенствования - так устроена наша индустрия. Все самые передовые, самые мощные, самые лучшие продукты построены по этой модели, даже телефон, с которого вы, возможно, читаете сейчас этот текст. Что произошло после февраля? Использовать некоторые кубики стало опасно. Началась преднамеренная порча софта, в репозитории стали вливаться коды, которые делают самые разные и самые нехорошие вещи – начиная от баннерной политической агитации, заканчивая уничтожением данных на российских серверах.
Оперативно вычислить эти коды было невозможно, в репозиториях они жили довольно долго. Сейчас компании вынуждены заказывать дорогостоящий аудит, чтобы проверить, что софт не несет вреда. Несколько раз мы проводили такой аудит самостоятельно, с помощью своей экспертизы, чтобы не допустить вредоносное ПО своим заказчикам и на собственные стенды.
Мировое сообщество разработчиков осуждает технологические диверсии и пытается им противостоять, но могу предположить, что в перспективе эти бомбы подорвут всю модель открытой разработки.
Альтернативный софт
Сейчас некоторые ушедшие с российского рынка компании пока оставляют возможность использовать оплаченные продукты, но что будет после окончания договоров, непонятно. Другие просто обрубили доступ к программам. Так получилось со Slack, популярным корпоративным чатом, об уходе которого пользователей предупредили за две недели.
Чтобы избавить себя от неприятных сюрпризов, после введения первых ИТ-санкций мы собрались в офисе и стали искать альтернативы сервисам, без которых мы как компания не можем обойтись. Критерии выбора были понятны: продукт российской разработки или открытый бесплатный продукт, чтобы уйти от зарубежных расчетов. Надо сказать, что таблица вариантов получилась весьма внушительной. Для замены упомянутого Slack мы выбрали открытую бесплатную программу Мattermost. Наш сотрудник весьма успешно провел процесс миграции, и проблема решилась достаточно быстро. Мы подробно написали об этом тут
Но не со всеми сервисами решить вопрос удалось так удачно. Мы до сих пор думаем, чем заменим Jira, куда уходить с серверов Amazon. Пока Amazon не выдвигает ультиматумов, но риски в любом случае есть, поэтому многие вещи мы превентивно мигрируем в Яндекс.Облако.
Что будет с ИТ в ближайшие 2 года
Полагаю, что ряд сервисов все-таки найдет возможность с нами работать. Позиции будут сближаться, российское правительство, возможно, будет постепенно снимать ограничения, наложенные на банковскую систему и на функционирование иностранных юрлиц, сами сервисы будут открываться под другими брендами, чтобы сохранить российский рынок. По мировым меркам наш рынок маленький, но когда обороты компании измеряются миллиардами долларов, даже 5-10% рынка представляют интерес.
Но в переходном периоде будет достаточно сложно. Сейчас спрос на ресурсы внутри страны растет как снежный ком. ИТ-компаниям нужна сетевая инфраструктура, в десятки раз выросла потребность в российских облачных сервисах. И у того же Яндекса внезапно наступает головная боль – где взять столько серверов, чтобы насытить рынок. Уже очевидны проблемы с комплектующими, с оборудованием, начинаются задержки поставок. В таких условиях неизбежно подключатся рыночные регуляторы: спрос будет снижаться за счет цены, ценник на облачные вычисления внутри страны будет расти.
На что остается надежда? На господдержку, активные инвестиции, развитие импортозамещающих внутренних бизнесов и, конечно, на собственный креатив, которого сфере ИТ уж точно не занимать.
Шизофазия в два шага:
- открытый софт использовать нельзя и он умрет
- как только Slack отрубил нам доступ, то мы перешли на открытый mattermost
Ты бы еще разбирался в тех части, комментатор. Он писал про пакеты, в которые стали добавлять призывы и malware. В сети есть гуглдок с описание всего что находили весной там
о нет, призыв окончить войну, это чрезвычайно опасно для выживания страны. Срочно запретить!!!!!!1111!!!!!!!
Речь идёт например о https://gist.github.com/MidSpike/f7ae3457420af78a54b38a31cc0c809c
Если бы речь шла только о баннере где-то в логах или в консоли, то я бы не переживал из-за этого. Проблема в том, что были патчи, вносящие изменения в файловую систему на основе принадлежности к пулу ip-адресов, например.
Я конкретно про призывы, malware ясно что зло
"Сейчас компании вынуждены заказывать дорогостоящий аудит, чтобы проверить, что софт не несет вреда"
Ну да, для versioning policy нужен целый аудит.
Если не сложно, расскажите, как вы видите решение проблемы. Дано: 10 продуктов с ~1000 транзитивных зависимостей в каждом.
Если у вас в проект можно затащить любую либу с любой версией, то это вопрос к СТО как у вас ведется разработка.
В JVM мире я не слышал чтобы в популярных opensource репах были проблемы с безопасностью после начала СВО.
В любом случае у вас не так много решений:
1) Аудит (ну любите вы деньги тратить, что поделать)
2) Ревизия версий + свой artifactory который не даст притащить версию отличную от подтвержденной
3) свой opensource. Развивайте свои решения и делайте как считаете нужным. Форкните версии и улучшайте их самостоятельно, заодно покажете сообществу что ваши либы самые правильные либы.
Я сейчас открыл свой проект над которым работаю и в нем 331 либа. Их можно еще сократить на треть если корректно выпилить версии которые ниже или выше требуемых.
Спасибо за ответ. Все указанные вами способы так или иначе ведут к аудиту транзитивных зависимостей в том или ином виде.
1. Таковы реалии.
2. Это тоже аудит. Какая разница, в какую репу тащить зависимость: в чужую (гитхаб) или в свою (артифактори).
3. Наша задача как коммерческой компании писать софт. По возможности делая give back в комьюнити. Мы не сможем сами написать все 1000 либ для каждого из проектов.