2020/06/08 13:28:14

CEO BellSoft А.Белокрылов — о том, что перевернуло мир Java и как обеспечить SLA для ПО с открытым кодом в России

Среда запуска приложений Java всегда была бесплатной, но год назад эта политика изменилась. СЕО BellSoft Александр Белокрылов рассказал, что именно произошло, и дал советы российским компаниям, чтобы 20000 открытых дефектов не повлияли на работоспособность их высоконагруженных Java-приложений. Компания BellSoft входит в топ-5 мировых лидеров, развивающих OpenJDK, и выпускает Liberica JDK, российскую среду исполнения Java.

Александр
Белокрылов
Как и любому другому системообразующему ПО среде исполнения Java требуются регулярные обновления безопасности

Александр, считается, что экосистема Java является открытой. Что случилось год назад?

Александр Белокрылов: Уже 25 лет Java[1] была и остается самой популярной средой разработки и запуска приложений. И на протяжении всего времени существования использование и обновления среды исполнения приложений Java было бесплатным. Однако, в прошлом году мир Java изменился и в политику лицензирования были внесены существенные коррективы.

Стоит отметить четыре основных изменения. Первое — выпуск новых релизов ускорился, теперь новые версии Oracle JDK выходят каждые пол года и они доступны в OpenJDK в виде исходных кодов. Второе - поддержка новых версий осуществляется в течение всего 6 месяцев, за это время выпускается одно обновления. Третье - после выхода новой версии, поддержка старой версии прекращается. И четвертое, начиная с 11 версии использовать Oracle JDK бесплатно можно лишь в тестовых средах и средах разработки (лицензия измененена на OTN (Oracle Technology Network)). То есть, если компания пользуется им в продуктивных средах, необходима подписка на коммерческую поддержку, которая и является гарантом необходимых обновлений. Хотя напомню, что Oracle Java базируется на исходном коде проекта OpenJDK, состоящего исключительно из свободного и открытого исходного кода.

Изменения как-то коснулись вопросов безопасности?

Александр Белокрылов: Да, и это самое важное. Обновления безопасности перестали предоставляться публично. Для использования Java SE в промышленной эксплуатации теперь требуется приобретение коммерческой подписки. Так с момента выпуска последнего публичного обновления Java SE 8 в 2019 году уже устранено более 40 уязвимостей в версии JDK 8 (Java Development Kit).

Приятно отметить, что в России есть компании, при этом весьма крупные, которые приобрели подписку, потому что любят Java и оценивают свои риски.Российский рынок ERP-систем сократился, но приготовился к росту. Обзор и рейтинг TAdviser 250 т

С другой стороны, подавляющее большинство государственных информационных систем также спроектированы с использованием Java компонентов. Однако, проанализировав информацию о государственных закупках, мы пришли к выводу, что ни одна из государственных компаний, региональные и федеральные органы исполнительной власти не закупали техническую поддержку Java, включающую своевременные обновления безопасности.

Как и любому другому системообразующему ПО среде исполнения Java требуются регулярные обновления безопасности. Атаки на устаревшие версии программного обеспечения — серьезная киберугроза — и для критических информационных инфраструктур необходима своевременная установка обновлений безопасности. Пренебрежение этими нормами ИТ-гигиены может привести к нежелательным последствиям, таким как нарушение их функционирования, утечка или компрометация ценных данных.

Где в России используется Java
  1. В составе готовых решений сторонних производителей таких как OpenWay, Cuba-platform, cистема межведомственного взаимодействия, CryptoPro, MPDV, Alpha systems, СЭД ТЕЗИС Система управления документами и задачами, СЭД CompanyMedia;
  2. Заказные системы или системы собственной разработки на основе Spring;
  3. Системы анализа больших данных BigData, например на основе Hadoop, Spark, Kafka;
  4. В контейнерезированных приложениях;
  5. На рабочих местах;
  6. Заказные системы или системы собственной разработки, работающие на опенсорсных Application и Web серверах, таких как: Tomcat, TomEE, Wildify, GlassFish.

Как в этом случае быть российским заказчикам?

Александр Белокрылов: Компаниям, которые по тем или иным причинам не могут или не хотят мигрировать на новую версию среды исполнения Java два раза в год, по подписке предлагаются версии с долговременной поддержкой (LTS). Такими, например, являются Java SE 8 и Java SE 11.

Стоит подчеркнуть, что «слепое» использование ПО с открытым кодом очень опасно. Хотя Java – очень стабильная система, в OpenJDK есть порядка 20000 открытых дефектов. Часто бывает так, что эти дефекты исправляются в новых версиях, но компании не всегда могут оперативно организовать процесс миграции. Здесь на помощь придут наши специалисты. Для версий c долговременной поддержкой (LTS) разработчики, выпускающие дистрибутивы JDK, в том числе Oracle, BellSoft, бэкпортируют и предоставляют эти патчи и обновления в рамках контракта на техническую поддержку.

Однако требования к информационной безопасности решений предписывают обеспечить контроль целостности приложений, чтобы предотвратить внедрение вредоносного кода. Например, для выполнения требований ФСТЭК по обеспечению целостности необходимо использовать Liberica JDK в связке с российской операционной системой Astra Linux Именно в этой связке реализуется контроль целостности среды исполнения и приложений написанных на языке Java и обеспечивается защита от вредоносных инъекций.

Какие преимущества есть у Java?

Александр Белокрылов: Одним из безусловных преимуществ Java перед другими технологиями является процесс стандартизации (JCP), который отвечает за создание спецификации и референсных имплементаций. Для контроля за соответствием бинарных дистрибутивов OpenJDK на соответствие стандарту Java SE создан специальный инструментарий, который продолжает совершенствоваться Oracle, — Technology Compatibility Kit (TCK).

Мы гордимся, что BellSoft - единственная компания в России имеет лицензию Oracle на Technology Compatibility Kit. TCK содержит в себе набор из более чем 140 000 тестов, которые проверяют среду исполнения на соответствие спецификации Java SE. 100% прохождение TCK средой исполнения гарантирует безболезненный переход между средой исполнения Java от Oracle, Red Hat, BellSoft и других. Все дистрибутивы Liberica JDK верифицированы TCK и гарантированно соответствуют стандарту Java SE. Таким образом обеспечивается необходимый уровень качества, компетенций и технической поддержки, отвечающий требованиям цифрового суверенитета.

Какие гарантии и выгоды получают государственные компании от выбора российской среды исполнения Java, вашего продукта Liberica JDK?

Александр Белокрылов: Это укладывается в актуальную на данный момент стратегию по импортозамещению. Liberica JDK включена в единый реестр российского ПО[2] и является рекомендованным отечественным софтом. Российская среда исполнения Java имеет сертифицированный ФСБ криптопровайдер в спецификации JCP и дает возможность сертификации во ФСТЭК необходимых приложений, использующих для работы Java-runtime.

У нашего решения нет лицензионных ограничений для использования в продуктивной среде, оно мультиплатформенное, поддерживает JavaFX и Java Embedded. Мы верифицируем все версии с помощью Technology Compatibility Kit, это гарантирует 100% соответствие всем спецификациям Java SE. К тому же пользователи получат в нашем лице надежного технологического партнера, признанного на мировом уровне. BellSoft является одним из самых заметных участников развития платформы Java и единственная из российских компаний, которая входит в ТОП-5 самых активных контрибьюторов проекта OpenJDK наряду с гигантами мирового рынка ПО, такими как SAP, Google, IBM. И это позволяет позиционировать BellSoft, как одного из мировых лидеров, развивающих Java.

Безопасность – самое главное, о чем мы заботимся. У нашего решения есть регламент на исправления безопасности (SLA), бэкпортирование обновлений и заплаток безопасности из апстрим версии и своевременные апдейты. В соответствии с ФЗ №187 «О безопасности критической информационной инфраструктуры РФ» необходимо поддерживать версии в актуальном состоянии.

Мы участвуем в создании патчей безопасности вместе с другими участниками OpenJDK, что позволяет выпускать обновления Liberica JDK синхронно с обновлением Oracle Java, минимизируя риски использования уязвимостей злоумышленниками. Анализ, подготовка и тестирование обновлений безопасности проходят в закрытой группе в рамках проекта OpenJDK.

А вы обеспечиваете совместимость с аппаратными системами заказчика?

Александр Белокрылов: Да, для нас особенно важно поддерживать российские аппаратные платформы, а не только программные. Поэтому, например, наши продукты совместимы с процессорами ARM от Байкал Электроникс. Мы также делаем Liberica JDK для серверной платформы Эльбрус SPARС, сейчас совместно с МЦСТ проводим тестирование.

Расскажите о партнерской программе, которую вы запустили в конце апреля (см подробнее). Зачем она нужна и на кого рассчитана?

Александр Белокрылов: Это органичное продолжение стратегии развития и сертификации разработок BellSoft. Мы считаем, что сеть партнеров позволит расширить экосистему российской среды исполнения Java на территории России и приблизить разработки BellSoft к заказчикам, которым необходимо обеспечение критически важной инфраструктуры и соблюдение цифрового суверенитета. Мы начали с компаний, которые имеют экспертизу в Java-решениях. Мы уже видим интерес и привлекаем таких игроков, как системные интеграторы, компании-разработчики программного и аппаратного обеспечения, реселлеры ПО. В том числе, это могут быть партнеры Oracle.

Как я уже говорил выше, использование критически важных информационных систем без коммерческой поддержки может оказаться небезопасным. А наша партнерская программа создает выгодные условия для ИТ-компаний по поставке и поддержке продуктов и услуг для критически важных и государственных информационных систем. К тому же мы помогаем обеспечивать требования цифрового суверенитета благодаря использованию российской среды исполнения Java.

Как российской компании, основанной всего три года назад, удалось войти в топ-5 мировых лидеров, развивающих Java, вместе с Oracle, RedHat, SAP и Google?

Александр Белокрылов:Раскрою секрет. Наш инженерный костяк состоит из российских разработчиков, которые участвовали в создании Java на протяжении более 15 лет в Sun и Oracle и продолжают сегодня вносить существенный вклад в OpenJDK. Это позволяет BellSoft предоставлять консультационные сервисы, связанные с разработкой сложных систем на Java технологиях: аудит архитектуры программных систем, оптимизация производительности, миграция программных систем на современные версии Java, переработка архитектурного дизайна для улучшения перфоманса системы в целом. Глубокие знания механизмов работы виртуальной машины Java, понимание дизайна системных библиотек и большой опыт работы по оптимизации приложений использующих современные и легаси фреймворки, позволяют нашим клиентам в России и за рубежом получать результаты высочайшего качества и в оптимальные сроки. Среди них компании в финансовом секторе, ритейле, ИТ, в том числе такие международные ИТ-лидеры, как JetBrains, и крупнейшие банки, как Альфа-Банк. Еще несколько крупных анонсов клиентов мы готовим в ближайшее время.

Продуктовая линейка BellSoft
  • Liberica JDK — дистрибутив Java SE, является полнофункциональной российской средой исполнения Java, рекомендованной отечественной разработкой, выполняющей функции аналогичные Oracle JDK и неподдерживаемых сборок OpenJDK.
  • Liberica JDK PRO — дистрибутив Java SE, является полнофункциональной российской средой исполнения Java, рекомендованной отечественной разработкой, выполняющей функции аналогичные Oracle JDK и неподдерживаемых сборок OpenJDK с фокусом на совместимость с российскими операционными системами, такие как Astra Linux, Alt Linux и Red OS.
  • Libercat — сервер приложений основанный на Apache TomCat, поставляется в формате вебсервера (TomCat) и сервера приложений в спецификации Java EE (TomCat EE) и является российским аналогом таких решений, как Oracle WebLogic и IBM WebSphere.
  • Liberica Runtime Container — легковесный поддерживаемый докер контейнер с Alpine Linux и Liberica JDK на борту.

19 июня в 11:00 впервые в России пройдет онлайн-конференция «Открытый код – открытый космос». Она организуется BellSoft совместно с лидерами рынка открытого ПО в России, с которыми мы работаем по построению полного стека открытых технологий для решения задач цифрового суверенитета. Это ALT Linux (OC), Haulmont (CUBA platform), Postgres Professional (СУБД), НИИ Восход и другие значимые фигуры, апологеты open source в России.

Как сделать ПО с открытым кодом безопасным? Мы хотим помочь коммерческим и государственным организациям осуществить комплексный подход к выбору стека ИТ-решений, отвечающих требованиям безопасности и цифрового суверенитета и при этом сократить издержки на ПО. Участие бесплатное. Программа и регистрация по ссылке.