CEO BellSoft А.Белокрылов — о том, что перевернуло мир Java и как обеспечить SLA для ПО с открытым кодом в России
05.06.2020Александр, считается, что экосистема Java является открытой. Что случилось год назад?
АЛЕКСАНДР БЕЛОКРЫЛОВ: Уже 25 лет Java[1] была и остается самой популярной средой разработки и запуска приложений. И на протяжении всего времени существования использование и обновления среды исполнения приложений Java было бесплатным. Однако, в прошлом году мир Java изменился и в политику лицензирования были внесены существенные коррективы.
Стоит отметить четыре основных изменения. Первое — выпуск новых релизов ускорился, теперь новые версии OracleJDK выходят каждые пол года и они доступны в OpenJDK в виде исходных кодов. Второе - поддержка новых версий осуществляется в течение всего 6 месяцев, за это время выпускается одно обновления. Третье - после выхода новой версии, поддержка старой версии прекращается. И четвертое, начиная с 11 версии использовать Oracle JDK бесплатно можно лишь в тестовых средах и средах разработки (лицензия измененена на OTN (Oracle Technology Network)). То есть, если компания пользуется им в продуктивных средах, необходима подписка на коммерческую поддержку, которая и является гарантом необходимых обновлений. Хотя напомню, что Oracle Java базируется на исходном коде проекта OpenJDK, состоящего исключительно из свободного и открытого исходного кода.
Изменения как-то коснулись вопросов безопасности?
АЛЕКСАНДР БЕЛОКРЫЛОВ: Да, и это самое важное. Обновления безопасности перестали предоставляться публично. Для использования Java SE в промышленной эксплуатации теперь требуется приобретение коммерческой подписки. Так с момента выпуска последнего публичного обновления Java SE 8 в 2019 году уже устранено более 40 уязвимостей в версии JDK 8 (Java Development Kit).
Приятно отметить, что в России есть компании, при этом весьма крупные, которые приобрели подписку, потому что любят Java и оценивают свои риски.
С другой стороны, подавляющее большинство государственных информационных систем также спроектированы с использованием Java компонентов. Однако, проанализировав информацию о государственных закупках, мы пришли к выводу, что ни одна из государственных компаний, региональные и федеральные органы исполнительной власти не закупали техническую поддержку Java, включающую своевременные обновления безопасности.
Как и любому другому системообразующему ПО среде исполнения Java требуются регулярные обновления безопасности. Атаки на устаревшие версии программного обеспечения — серьезная киберугроза — и для критических информационных инфраструктур необходима своевременная установка обновлений безопасности. Пренебрежение этими нормами ИТ-гигиены может привести к нежелательным последствиям, таким как нарушение их функционирования, утечка или компрометация ценных данных.
- В составе готовых решений сторонних производителей таких как OpenWay, Cuba-platform, cистема межведомственного взаимодействия, CryptoPro, MPDV, Alpha systems, СЭД ТЕЗИС, СЭД CompanyMedia;
- Заказные системы или системы собственной разработки на основе Spring;
- Системы анализа больших данных BigData, например на основе Hadoop, Spark, Kafka;
- В контейнерезированных приложениях;
- На рабочих местах;
- Заказные системы или системы собственной разработки, работающие на опенсорсных Application и Web серверах, таких как: Tomcat, TomEE, Wildify, GlassFish.
Как в этом случае быть российским заказчикам?
АЛЕКСАНДР БЕЛОКРЫЛОВ: Компаниям, которые по тем или иным причинам не могут или не хотят мигрировать на новую версию среды исполнения Java два раза в год, по подписке предлагаются версии с долговременной поддержкой (LTS). Такими, например, являются Java SE 8 и Java SE 11.
Стоит подчеркнуть, что «слепое» использование ПО с открытым кодом очень опасно. Хотя Java – очень стабильная система, в OpenJDK есть порядка 20000 открытых дефектов. Часто бывает так, что эти дефекты исправляются в новых версиях, но компании не всегда могут оперативно организовать процесс миграции. Здесь на помощь придут наши специалисты. Для версий c долговременной поддержкой (LTS) разработчики, выпускающие дистрибутивы JDK, в том числе Oracle, BellSoft, бэкпортируют и предоставляют эти патчи и обновления в рамках контракта на техническую поддержку.
Однако требования к информационной безопасности решений предписывают обеспечить контроль целостности приложений, чтобы предотвратить внедрение вредоносного кода. Например, для выполнения требований ФСТЭК по обеспечению целостности необходимо использовать Liberica JDK в связке с российской операционной системойAstra Linux Именно в этой связке реализуется контроль целостности среды исполнения и приложений написанных на языке Java и обеспечивается защита от вредоносных инъекций.
Какие преимущества есть у Java?
АЛЕКСАНДР БЕЛОКРЫЛОВ: Одним из безусловных преимуществ Java перед другими технологиями является процесс стандартизации (JCP), который отвечает за создание спецификации и референсных имплементаций. Для контроля за соответствием бинарных дистрибутивов OpenJDK на соответствие стандарту Java SE создан специальный инструментарий, который продолжает совершенствоваться Oracle, — Technology Compatibility Kit (TCK).
Мы гордимся, что BellSoft - единственная компания в России имеет лицензию Oracle на Technology Compatibility Kit. TCK содержит в себе набор из более чем 140 000 тестов, которые проверяют среду исполнения на соответствие спецификации Java SE. 100% прохождение TCK средой исполнения гарантирует безболезненный переход между средой исполнения Java от Oracle, Red Hat, BellSoft и других. Все дистрибутивы Liberica JDK верифицированы TCK и гарантированно соответствуют стандарту Java SE. Таким образом обеспечивается необходимый уровень качества, компетенций и технической поддержки, отвечающий требованиям цифрового суверенитета.
Какие гарантии и выгоды получают государственные компании от выбора российской среды исполнения Java, вашего продукта Liberica JDK?
АЛЕКСАНДР БЕЛОКРЫЛОВ: Это укладывается в актуальную на данный момент стратегию по импортозамещению. Liberica JDK включена в единый реестр российского ПО[2] и является рекомендованным отечественным софтом. Российская среда исполнения Java имеет сертифицированный ФСБ криптопровайдер в спецификации JCP и дает возможность сертификации во ФСТЭК необходимых приложений, использующих для работы Java-runtime.
У нашего решения нет лицензионных ограничений для использования в продуктивной среде, оно мультиплатформенное, поддерживает JavaFX и Java Embedded. Мы верифицируем все версии с помощью Technology Compatibility Kit, это гарантирует 100% соответствие всем спецификациям Java SE. К тому же пользователи получат в нашем лице надежного технологического партнера, признанного на мировом уровне. BellSoft является одним из самых заметных участников развития платформы Java и единственная из российских компаний, которая входит в ТОП-5 самых активных контрибьюторов проекта OpenJDK наряду с гигантами мирового рынка ПО, такими как SAP, Google, IBM. И это позволяет позиционировать BellSoft, как одного из мировых лидеров, развивающих Java.
Безопасность – самое главное, о чем мы заботимся. У нашего решения есть регламент на исправления безопасности (SLA), бэкпортирование обновлений и заплаток безопасности из апстрим версии и своевременные апдейты. В соответствии с ФЗ №187 «О безопасности критической информационной инфраструктуры РФ» необходимо поддерживать версии в актуальном состоянии.
Мы участвуем в создании патчей безопасности вместе с другими участниками OpenJDK, что позволяет выпускать обновления Liberica JDK синхронно с обновлением Oracle Java, минимизируя риски использования уязвимостей злоумышленниками. Анализ, подготовка и тестирование обновлений безопасности проходят в закрытой группе в рамках проекта OpenJDK.
А вы обеспечиваете совместимость с аппаратными системами заказчика?
АЛЕКСАНДР БЕЛОКРЫЛОВ: Да, для нас особенно важно поддерживать российские аппаратные платформы, а не только программные. Поэтому, например, наши продукты совместимы с процессорами ARM от Байкал Электроникс. Мы также делаем Liberica JDK для серверной платформы Эльбрус SPARС, сейчас совместно с МЦСТ проводим тестирование.
Расскажите о партнерской программе, которую вы запустили в конце апреля (см подробнее). Зачем она нужна и на кого рассчитана?
АЛЕКСАНДР БЕЛОКРЫЛОВ: Это органичное продолжение стратегии развития и сертификации разработок BellSoft. Мы считаем, что сеть партнеров позволит расширить экосистему российской среды исполнения Java на территории России и приблизить разработки BellSoft к заказчикам, которым необходимо обеспечение критически важной инфраструктуры и соблюдение цифрового суверенитета. Мы начали с компаний, которые имеют экспертизу в Java-решениях. Мы уже видим интерес и привлекаем таких игроков, как системные интеграторы, компании-разработчики программного и аппаратного обеспечения, реселлеры ПО. В том числе, это могут быть партнеры Oracle.
Как я уже говорил выше, использование критически важных информационных систем без коммерческой поддержки может оказаться небезопасным. А наша партнерская программа создает выгодные условия для ИТ-компаний по поставке и поддержке продуктов и услуг для критически важных и государственных информационных систем. К тому же мы помогаем обеспечивать требования цифрового суверенитета благодаря использованию российской среды исполнения Java.
Как российской компании, основанной всего три года назад, удалось войти в топ-5 мировых лидеров, развивающих Java, вместе с Oracle, RedHat, SAP и Google?
АЛЕКСАНДР БЕЛОКРЫЛОВ:Раскрою секрет. Наш инженерный костяк состоит из российских разработчиков, которые участвовали в создании Java на протяжении более 15 лет в Sun и Oracle и продолжают сегодня вносить существенный вклад в OpenJDK. Это позволяет BellSoft предоставлять консультационные сервисы, связанные с разработкой сложных систем на Java технологиях: аудит архитектуры программных систем, оптимизация производительности, миграция программных систем на современные версии Java, переработка архитектурного дизайна для улучшения перфоманса системы в целом. Глубокие знания механизмов работы виртуальной машины Java, понимание дизайна системных библиотек и большой опыт работы по оптимизации приложений использующих современные и легаси фреймворки, позволяют нашим клиентам в России и за рубежом получать результаты высочайшего качества и в оптимальные сроки. Среди них компании в финансовом секторе, ритейле, ИТ, в том числе такие международные ИТ-лидеры, как JetBrains, и крупнейшие банки, как Альфа-Банк. Еще несколько крупных анонсов клиентов мы готовим в ближайшее время.
- Liberica JDK — дистрибутив Java SE, является полнофункциональной российской средой исполнения Java, рекомендованной отечественной разработкой, выполняющей функции аналогичные Oracle JDK и неподдерживаемых сборок OpenJDK.
- Liberica JDK PRO — дистрибутив Java SE, является полнофункциональной российской средой исполнения Java, рекомендованной отечественной разработкой, выполняющей функции аналогичные Oracle JDK и неподдерживаемых сборок OpenJDK с фокусом на совместимость с российскими операционными системами, такие как Astra Linux, Alt Linux и Red OS.
- Libercat — сервер приложений основанный на Apache TomCat, поставляется в формате вебсервера (TomCat) и сервера приложений в спецификации Java EE(TomCat EE) и является российским аналогом таких решений, как Oracle WebLogic и IBM WebSphere.
- Liberica Runtime Container — легковесный поддерживаемый докер контейнер с Alpine Linux и Liberica JDK на борту.