Роман Карпов, Axiom JDK: «Выбор отечественного Java-стека – залог выполнения KPI по импортозамещению»
Рост рисков информационной безопасности, регуляторные ограничения, давление сроков миграции КИИ с иностранных продуктов определяют приоритеты ИТ-руководителей сегодня. Переход на надежный отечественный Java-стек, который создан в концепции безопасной разработки и совместим с большинством отечественных платформ, может обеспечить быструю победу в ряде задач.
О формировании технологической стратегии на ближайшие годы, опасностях, которые могут нести продукты на базе Open Source без поддержки, и усилении роли CIO в современных реалиях мы говорим с директором по стратегии и развитию технологий Axiom JDK Романом Карповым.
Роман, Указы Президента № 166 и № 250 ставят российские компаний, в первую очередь, субъекты КИИ, в довольно жесткие условия по импортозамещению. Как, на ваш взгляд, идет переход на отечественный технологический стек?
Действительно, сегодня мы наблюдаем рост числа проектов по импортозамещению, особенно среди субъектов критических информационных инфраструктур (КИИ). Связано это не только с требованиями регуляторов, но и с тем, что зарубежные решения имеют гораздо больший риск информационной безопасности: риск отказа в обслуживании при отсутствии обновлений безопасности, устранения уязвимостей и т. д. Если раньше многие компании выжидали и придерживались стратегии заморозки, то сейчас даже они вынуждены предпринимать реальные действия. Важную роль в этом играют владельцы бизнеса, они стали строже следить за выполнением KPI по импортозамещению. Ответственные за это направление люди могут лишиться должности, если сроки будут сорваны. И чем ближе 2025 год, таких рисков будет больше.
При этом задача стоит гораздо серьёзнее, чем просто заменить один продукт на другой. Компании нужно утвердить вектор развития на несколько лет вперед, понять, какие технологии будут востребованы, на какой технологический стек делать ставку. Самые очевидные проекты импортозамещения — это замена операционной системы, офисного пакета, почтовой системы, прикладных бизнес-решений. Мало кто задумывался, на чем они работают.
И только сейчас, в 2023 году Приказ Минцифры России № 21 более структурно показал, какие подклассы ПО на самом деле требуется замещать. Ведь приложение может быть написано на одном из многих языков программирования, но чтобы оно заработало, нужна еще среда функционирования, которая будет транслировать код программы в машиночитаемый язык. За это отвечают технологии связующего слоя. Сегодня время их импортозамещения.
Среда разработки и исполнения Java поддерживает порядка 30 языков программирования. А наличие российского дистрибутива Axiom JDK Pro позволяет рассматривать Java-платформу как один из наиболее быстрых и выгодных вариантов миграции как с точки зрения технологической стратегии, так и с точки зрения безопасности.
В чем опасность сохранения старого зарубежного стека? Как линейка отечественных Java-технологий помогает выполнять KPI по импортозамещению и повышать защищенность критичных систем?
Мы предлагаем полный стек программных продуктов для разработки и исполнения Java-приложений с регулярными обновлениями безопасности, которых сейчас лишены зарубежные решения. Наши линейки Axiom JDK и Libercat основаны на проектах с открытым исходным кодом, а инженеры, которые их создают и поддерживают, имеют более 25 лет опыта развития Java и OpenJDK.
Необходимо понимать, что исходный код Open Source и продукт на его основе – это не одно и то же. Терминология здесь очень важна. Заказчики используют именно готовый продукт, для проверки безопасности его кода, обновлений и поддержки нужна серьезная экспертиза, которую долго и дорого растить внутри. Мы берем эту трудоемкую задачу на себя, экономя инженерное время и ресурсы клиентов. Опираясь на отечественные Java-технологии с гарантийной поддержкой, они могут полностью сфокусироваться на задачах бизнеса.
Среда разработки и исполнения Java Axiom JDK Pro - наш флагманский продукт на базе OpenJDK. Он соответствует стандарту Java SE, благодаря чему для перехода с зарубежной Java-платформы, например, Oracle, Red Hat, или самосборок достаточно заменить пару строк кода и система будет продолжать работать. В контексте KPI по импортозамещению такая быстрота и надежность весьма привлекательны.
Сертифицированная ФСТЭК версия Axiom JDK Certified нужна для систем с повышенными требованиями к безопасности. Это ГИСы вплоть до 1-го класса защищенности, критические информационные инфраструктуры (КИИ), системы персональных данных, а также критичные банковские системы, например, АБС, ДБО, которые должны соответствовать нормативам ЦБ РФ. Кроме того, Axiom JDK Certified решает задачи разработчиков отечественных приложений, так как при сертификации ФСТЭК требуется сертифицировать и среду их исполнения. С нашим продуктом партнеры могут ускорить процесс и заниматься проверкой кода только своего решения.
Стандартизованный сервер приложений Libercat заменяет такие импортные продукты, как Oracle Weblogic Server, IBM WebSphere и Red Hat JBoss. Поскольку миграция серверов приложений – довольно трудозатратный проект, мы готовы стать для клиентов центром компетенций и помочь его ускорить.
Все наши продукты создаются в соответствии с концепцией жизненного цикла безопасной разработки (Secure Development Lifecycle, SDL). Такой подход обеспечивает безопасность систем на их основе на протяжении всего периода разработки и эксплуатации. При реализации SDL инженерная команда использует ряд профессиональных инструментов - фаззинг, статическое и динамическое тестирование, в том числе инструментарий Института системного программирования Российской академии наук (ИСП РАН): статический анализатор Svace, доверенные компиляторы и др.
Миграция на отечественную Java Axiom JDK — это быстрая победа. А насколько востребован переход на сервер приложений Libercat?
Основные типы развертывания приложений на сегодняшний день – это либо микросервисная архитектура и использование контейнеризации, либо монолитная трехзвенная архитектура, где один из уровней - сервер приложений. Приверженцы гибкости и скорости выбирают Kubernetes. Но все же большое количество legacy-систем построены на монолите – например, многие системы дистанционного банковского обслуживания или процессинга.
В зарубежных серверах приложений используется спецификация Java EE/Jakarta EE, дополненная проприетарными компонентами и библиотеками. Это сказывается на сложности миграции: если приложение заказчика писалось с использованием открытой спецификации, для перехода достаточно произвести ряд небольших доработок. Но если компания использовала проприетарный функционал, при миграции может потребоваться переписать все приложение.
Libercat основан на открытых исходных кодах Apache Tomcat, одного из самых популярных серверов приложений. Наш продукт реализует ключевую часть спецификаций Java EE/Jakarta EE и позволяет достаточно удобно переносить приложения, написанные в соответствии с ними, на стек доверенных российских технологий. Например, недавно один из крупнейших российских банков завершил перевод системы дистанционного банковского обслуживания (ДБО) на Libercat.
Приоткрою секрет, наш сервер приложений проходит завершающую стадию сертификации ФСТЭК. Мы ожидаем, что уже в этом году по результатам испытаний он так же, как и ранее Axiom JDK Certified, будет признан средством защиты информации и рекомендован к использованию в системах с повышенными требованиями к безопасности по 4УД.
Как вы формируете совместимый стек Java?
Изначально в технологию Java заложен принцип WORA – Write once, run anywhere. Он означает, что единожды написанное приложение может быть запущено везде, где есть среда исполнения Java. Таким образом, за счет обеспечения работы Java-машины с различными операционными системами и процессорами достигается ее кроссплатформенность. Это большое преимущество Java, в том числе для импортозамещения.
Затем мы постоянно инвестируем в сертификацию и совместимость наших продуктов с отечественными ПО и оборудованием и расширяем технологическое партнерство с российскими ИТ-компаниями. Российская среда разработки и исполнения Java Axiom JDK Pro поддерживает один из самых широких в мире набор платформ, в том числе большинство версий Windows, Linux, отечественные ОС Astra Linux, РЕД ОС, РОСА и ALT Linux и др. Партнерская экосистема российской Java включает более 60 компаний.
Если говорить о процессорных архитектурах, продукты Axiom JDK совместимы с x86 64/32 bit, ARM, PowerPC, SPARC, RISC-V.
А ваши продукты поддерживают современные тренды - облачные среды и микросервисную архитектуру?
Когда технология Java создавалась, она не предполагала использование в облаках и микросервисных платформах, поэтому она довольно тяжеловесная. Но контейнеры можно сделать и меньше, и быстрее. Для этого надо улучшить либо базовый образ, либо приложение внутри него. Мы работаем в обоих направлениях.
Наша стратегия - повышать эффективность разработки и продуктивность разработчиков.
Например, размер контейнера Java на базе CentOS от Red Hat занимает около 500 Мб. Наши инженеры создали легковесный контейнер размером всего 41 Мб. Он входит в уникальный продукт Axiom JDK Runtime Container Pro, аналогов которого нет ни среди открытого ПО, ни среди коммерческих решений. Наш контейнер в 12 раз меньше, поэтому лучше всего подходит для облачного использования, так как позволяет снизить расходы на хранение данных в облаке и сократить объем потребляемого трафика.
Еще один инструмент для ускорения и оптимизации разработки Java-приложений – Axiom Инструментарий нативных образов. Это универсальный компилятор для мгновенного старта приложений (Ahead Of Time). При его использовании виртуальная машина для работы бинарного файла уже не нужна, что позволяет ускорить запуск Java-приложений в 10 раз.
На отечественной Java Axiom JDK Pro успешно работают Платежная система «Мир», СБП, государственные информационные системы, ряд крупнейших банков, дочерние предприятия «Газпром». Как много систем на базе Java в России? Сколько еще необходимо импортозаместить?
Java развивается более 25 лет и все это время остается в топ-3 самых популярных технологий в мире. В России всегда была сильная инженерная экспертиза и в ИТ-ландшафте отечественных компаний Java занимает центральное место. Например, 80% банковских систем работают на этой платформе, а, значит, нуждаются в переходе на отечественный стек до января 2025 года, как и другие критичные системы.
При этом мы видим, что число успешных проектов миграции активно растет – в процессинге карт, розничной торговле, добыче газа, онлайн-платежах, государственных сервисах, соцсетях и самых популярных ИТ-системах. Есть стратегически мыслящие CIO и CTO и их профессиональные ИТ-команды, чей опыт миграции на Axiom JDK Pro уже можно перенять.
Один из самых масштабных – это сотрудничество с компанией НСПК. В 2020 году она перевела процессинг, клиринг и систему лояльности Платежной системы «Мир» на Axiom JDK Pro. Если бы ИТ-ландшафт был построен на зарубежном ПО, мы не смогли бы осуществлять карточные операции с высокой производительностью и отказоустойчивостью и продолжать расплачиваться картами Visa и Mastercard. Система быстрых платежей, через которую за сутки проводится около 18 миллионов операций, и другие цифровые и транспортные сервисы Mir.Platform работают на нашей Java с SLA 99,999%. Таким образом, более 100 миллионов россиян незаметно для себя используют Axiom JDK Pro. В этом году мы расширили сотрудничество и наметили дальнейшие планы.
В числе передовиков импортозамещения стоит отметить высоконагруженные финтех системы. Например, Санкт-петербургскую международную товарно-сырьевую биржу (СПбМТСБ). В нефтегазовой отрасли - наукоемкий проект интеллектуального месторождения. В целом, в этом году уже стартовало более 40 проектов в компаниях разных отраслей и масштабов деятельности.
В чем особенность инженерной экспертизы Axiom JDK? Почему владельцы наиболее серьезных и критичных систем выбирают ваши продукты?
Мы гордимся, что у Axiom JDK одна из наиболее опытных команд разработки в России. Наши инженеры развивают Java практически с момента появления технологии. Большая ценность, что в стране есть поставщик с такой мощной экспертизой в крупном мировом Open Source проекте, который следит за обновлениями безопасности и оказывает техническую поддержку.
Все наши продукты - в отличие от зарубежных и самосборок открытого ПО - входят в реестр ПО Минцифры и совместимы с отечественными ОС, СУБД, приложениями и аппаратным обеспечением. Это преимущество для российских компаний.
Синхронно с Oracle Java мы выпускаем 6 релизов Axiom JDK Pro в год. И почти каждый инженеры дополняют локализацией в соответствии с российскими нормами. Например, в Axiom JDK Pro интегрированы TLS-сертификаты Минцифры РФ. Зарубежные сертификаты безопасности больше недоступны, а с нашим дистрибутивом подключение произойдет автоматически при установлении защищенных TLS-соединений с цифровыми сервисами, использующими отечественные сертификаты.
До выхода Axiom JDK Certified никто не мог сертифицировать Java, так как она считалась «недоверенной», то есть требующей много доработок. Действительно, мы инвестировали 10 человеко-лет в разработку сертифицированного продукта и верифицировали 3 Гб кода. В том числе наши инженеры доработали под требования ФСТЭК сборщик мусора.
Гарантийная базовая поддержка на наши продукты включает проверку всех исходных кодов, формирование готового бинарного файла, регулярные обновления, включая апдейты безопасности, а также отработку инцидентов в течение 24 ч в случае нештатной работы, возникновения проблем с производительностью. В рамках премиальной поддержки предоставляются дополнительные каналы коммуникации, выделенный инженер и SLA на выпуск обновлений, связанных с безопасностью, а время отработки запросов сокращено до 3 часов.
Мы ведем активную общественную деятельность, участвуем в профильных комитетах. Это позволяет лучше понимать нюансы нормативного творчества, предоставлять помощь, вносить корректировки. Нам важно, чтобы отечественные решения не просто догоняли, но и опережали зарубежные, ушедшие с рынка. Кибергигиена должна стать частью корпоративной культуры компаний-заказчиков, а безопасная разработка - частью культуры инженерных команд.
Как организации сформировать технологическую стратегию в условиях ухода западных вендоров, давления KPI по импортозамещению? Какие рекомендации можно дать ИТ-директорам?
Во-первых, потребность в решениях зависит от сферы деятельности и рисков компании. Если у компании нет чувствительной информации, можно использовать широкий спектр вариантов. Для критичной системы важно знать возможные точки ее отказа, их причины и варианты оперативного, а, по сути, мгновенного устранения неполадок.
Яркий пример – уязвимость в библиотеке Log4j, давшая начало «киберпандемии». Несмотря на то, что решение самой проблемы было найдено очень быстро, нужно было выпустить обновление, протестировать, установить, а для этого остановить систему с соответствующими последствиями для пользователей. А всё это отнимает время. Поэтому наши инженеры выпустили патч, который позволял блокировать эксплуатацию уязвимости на работающей Java-системе. Таким образом, пользователь митигировал риск и мог проводить необходимое полноценное обновление не в режиме форс-мажора, а в процессе регламентного обслуживания системы.
Во-вторых, ход импортозамещения зависит от подходов бизнеса. Ведь необязательно замещать компонент на компонент, искать точные аналоги, главное - заместить именно решение, необходимое для бизнес-задачи. Если бизнес не готов менять процессы, то здесь подойдет какая-то покомпонентная замена с сохранением всей бизнес-логики. Но если подход гибкий и можно вместо SAP, например, всю логику заново создать на «1C», тогда подойдет какое-то готовое решение из имеющихся на рынке.
В-третьих, компании, находящейся в активной фазе импортозамещения, необходимо больше взаимодействовать с поставщиками отечественных решений: устраивать демо-дни, собирать вендоров, рассказывать о своих задачах и потребностях, повышать собственную информированность о существующих решениях. Сегодня мы наблюдаем, что ИТ-директора обмениваются опытом внутри своей отрасли. В рамках ИЦК проводятся похожие активности. Всё это положительно влияет на компетенции ИТ-руководителей, на развитие экспертизы внутренних команд ИТ.
Наконец, результатом такого взаимодействия с отечественными поставщиками может стать план по тестированию или даже стратегия импортозамещения, учитывающая актуальные бизнес-задачи и перечень доступных на рынке решений. Мы открыты к общению, с удовольствием принимаем участие в этом процессе и передадим все запросы в наш центр по миграции и тестированию.
Как, по-вашему, трансформируется роль CIO с учетом современных требований импортонезависимости?
Я уверен, что сегодня время сильных людей в ИТ. За десятилетия существования российского ИТ-сообщества все привыкли к топовым, качественно и предсказуемо работающим зарубежным продуктам от SAP, Oracle, IBM. Но существует отечественный софт, который выполняет те же самые функции, но немного по-другому. Для его использования нужна соответствующая экспертиза – внутренняя или отечественного поставщика. Мы должны понять и принять эти риски – например, то, что при миграции что-то может не сразу заработать.
Мы должны были встать на этот путь еще 10 лет назад, когда курс на импортозамещения был задан. Но по объективным причинам этого не случилось. Разработчики, как правило, развивали продукты «не благодаря, а вопреки», исходя из своего понимания мирового и внутреннего рынков, продуктовой конкуренции. И сейчас, наконец, началась активная фаза, настоящая работа: если у заказчика что-то не функционирует, давайте список, – мы будем дорабатывать, чтобы архитектурно сделать по-другому.
В то же время сегодня для CIO, CTO и бизнеса в целом – тот самый момент, когда правильный выбор технологической платформы позволит сделать рывок вперед - достичь результатов как в плане выполнения KPI по импортозамещению, так и минимизации рисков информационной безопасности. И получить импульс опережающего развития.
Реклама ООО «БЕЛЛСОФТ»
