Скрытые траты на открытое ПО. Какие риски стоят денег?
Все больше компаний используют в своей практике open source. Чем он привлекает бизнес? Казалось бы, ответ в названии: свободой использования и бесплатностью. Но опытные приверженцы знают, что с открытым ПО не так все просто. И согласие иметь дело с ним означает необходимость погружаться в глубины технологий, тратить деньги и время команд. Как к этой особенности адаптировались компании?
Идея открытого и бесплатного софта к 2021 г. изменилась окончательно. В мире ИТ осталось мало проектов, которые не имели бы за спиной компаний, выполняющих роль основного коммитера. Изначально свободные решения сегодня покупаются корпорациями и становятся частью корпоративных экосистем. Бесплатность open source — практики это подтверждают, — условна. Получается, что открытое бесплатное программное обеспечение и не свободное, и платное?
Почему все хотят open source?
Open source пришел к нам из мира интернета. Небольшие интернет-компании не могли позволить себе дорогие коммерческие продукты и брали open source, вкладываясь в собственную разработку. Скорость изменений была и остается для них культом и способом выживания. Когда эту ценность стал разделять enterprise-сегмент, он тоже начал пользоваться инструментами свободного ПО. «Главными проводниками и двигателями open source в ИТ являются разработчики. И это понятно: многие продукты со свободным кодом созданы в парадигме unix way, когда каждый продукт отлично справляется с одной задачей. ИТ-ландшафт сегодня компаний усложняется, он состоит из небольших компонентов, которые в совокупности дают наиболее эффективное решение, — рассказывает Александр Краснов, руководитель лаборатории DevSecOps «Инфосистемы Джет». — Кроме того, сила open source-проектов — в постоянном улучшении. Например, с одним только Kubernetes работают больше 3 тысяч контрибьюторов. Не каждому вендору по силам иметь такой многочисленный штат специалистов, вкладывающихся в один-единственный продукт. Соответственно, производитель ПО не может обеспечить такую же космическую динамику развития того или иного софта». Получается, что тысячи заинтересованных людей создают новые продукты и фичи в ответ на вызовы конкретного бизнеса. Это делает open source инструменты максимально близкими к эталонным решениям самых насущных задач.
Свежее исследование «Положение открытого ПО в крупных коммерческих компаниях» от Red Hat говорит, что сегодня 90% лидеров ИТ-индустрии используют open source, применяя его для модернизации ИТ-инфраструктуры (64%), разработки приложений (54%) и цифровой трансформации (53%). Пандемия только подстегнула эту тенденцию. Переход к удаленной работе вынудил многие организации увеличить усилия по цифровой трансформации, а значит, и усилил проникновение открытого ПО на предприятиях. Например, растет использование условно-бесплатного Kubernetes, так как бизнес все чаще использует технологии контейнеризации. В Red Hat считают, что инфраструктура, основанная на контейнерах и Kubernetes, является основой новой волны разработки приложений и ключом к цифровой трансформации. Этот тезис подтверждает и опыт Сбербанка в Казахстане. «Наш мобильный банк уже много раз признавался лучшим в Казахстане. Переход на приложение с микросервисной архитектурой — еще один шаг на пути кардинального развития мобильного банкинга, — говорит Нурсултан Таскаранов, заместитель председателя правления ДБ Сбербанка. — Это открывает для нас перспективы по выводу нового функционала: мы ускорим Time-To-Market, не повлияв при этом на взаимодействие клиентов с банком».
Проприетарное ПО начинает и проигрывает?
У «Леруа Мерлен» сегодня имеется серьезная экспертиза в вопросе адаптации свободного ПО. Почти все инфраструктурное и APLM commodity ПО построено именно на базе открытого софта. Это и базы данных (Mongo, PostgreSQL, Kassandra и пр.), и BPM Kamunda, и системы обмена сообщениями, и PaaS, и ПО для оркестрации микросервисов (OpenStack, K8S). Как ритейлер выбирает, какие задачи решать с помощью open source, а какие ПО от вендора? Все корпоративные системы этой компании можно разделить на группы в соответствии с тем, каким образом они отвечают на вызовы бизнеса. Одни автоматизируют уникальные процессы, являющиеся конкурентным преимуществом и ноу-хау, и их разработка происходит, как правило, на открытом стеке. И есть системы, которые поддерживают обслуживающие функции бизнеса. Самый распространенный пример последних — это бухгалтерия и финансовый учет. «Большинство проприетарных бизнес-приложений удобны тем, что уже адаптированы к быстро меняющемуся законодательству. Но если целевые процессы компании не ложатся в логику покупаемых систем, то начинаются масштабные проекты по скрещиванию «ужа с ежом». В итоге тратятся деньги и время, а еще появляются риски, связанные с поддержкой и обновлениями, — объясняет Александр Бондарик, руководитель интеграционной и low-code платформ «Леруа Мерлен». — В этом случае значительная ценность проприетарного ПО (поддержка и сильная внешняя экспертиза) — просто теряется».
Реальная стоимость чистого open source
Выгоды и факторы, определяющие интерес к свободному софту понятны. Например, в «Российском союзе автостраховщиков» при создании АИС ОСАГО обращение к open source имело экономические цели. Евгений Уфимцев, исполнительный директор РСА отмечает: «При разработке платформы стоял вопрос экономии бюджета и в будущем мы хотели быть максимально независимыми от конкретного разработчика. Именно поэтому мы и выбрали open source».
Но важно держать в голове простой факт: такие продукты не бесплатны. Нужны адаптация, интеграция, поддержка — и тут начинаются траты. Компания платит своим временем. Требуется собственная экспертиза, чтобы разобраться с продуктом. Специалисты на рынке тоже не самый доступный ресурс. «Находить высококвалифицированных инженеров сейчас непросто. Рынок перегрет, и пока что становится только хуже», — отмечает Александр Бондарик.
Возникают сложности не только с интеграцией, но и с эксплуатацией. Технологии open source и крупный бизнес — это две разные идеологии. И основные трудности возникают из-за конфликта возможностей open source и требований крупного бизнеса к надежности. «Приведу пример из проекта построения ИТ-инфраструктуры под новую АИС ОСАГО, — делится опытом Александр Краснов. — Разработчики запросили СУБД PostgreSQL. А нам нужно гарантировать отказоустойчивость, а значит, создать кластер. Но в составе этой СУБД нет средств по организации кластера высокой доступности. Тогда в ход пошли сторонние ИТ-инструменты. Из этого возникла вторая задача, продиктованная высокими стандартами надежности, — защита от логических сбоев кластера. И это тоже вызов, потому как возможности резервного копирования в СУБД не отвечают требованиям эксплуатации крупных компаний». При этом проверенные временем корпоративные системы резервного копирования ограниченно поддерживают резервное копирование и восстановление кластерных конфигураций БД, для управления которыми используется кластер PostgreSQL. В итоге появилось решение на основе ПО Patroni и Commvault.
Бесплатное открытое ПО имеет свою не всегда проявленную стоимость. Она складывается из затрат на обучение специалистов, которые будут разрабатывать новый функционал и поддерживать ПО. Кроме того, нужно помнить: если с опенсорсным внедрением что-то случится, то просить о помощи будет не у кого и ИТ-команде придется разбираться с проблемами самостоятельно. «У нас использовалась СУБД с открытым кодом Cassandra в архитектуре сложного нагруженного real-time аналитического решения, — вспоминает Александр Бондарик. — Внутренние ресурсы не справились с операциями и оптимизацией системы. После определенного порога нагрузки стало сложно поддерживать высокую доступность системы. На рынке не оказалось доступных компетенций, приглашенные интеграторы также не смогли решить задачу. Пришлось менять архитектуру и решение уже на поздних этапах — эксплуатации зрелого продукта».
По мнению Андрея Пономарева, начальника управления IaaS Росбанка, структура затрат при использовании open source может быть иной — в банке используется Red Hat Openshift: «Можно сказать, что разработчики полностью перестали тратить время на инсталляцию и конфигурирование платформы. Да, состав команд вырос за счет появления в каждой из них DevOps-инженера. Но в результате весь пласт работы с операционными системами, их обновлением, настройкой ПО просто исчез. Все, о чем необходимо заботиться, — это написание скриптов выкладки, тестирования и прохождения CI/CD-конвейера. Все остальные задачи выпали из обязанностей проектной команды и о них не надо задумываться».
«Мы опросили 108 крупных компаний о сложностях покорения технологий контейнеризации. 44% наших респондента имеют дело с «ванильным» Kubernetes, — говорит Александр Краснов. — И когда они говорили о трудностях, отмечали проблемы надежности (27%), обеспечение безопасности (25%), и далее по убыванию: сложности с сетевым взаимодействием, хранением, масштабированием, отказоустойчивостью».
Открытое ПО необходимо тестировать на совместимость с другими приложениями и системами компании. В «Леруа Мерлен» это происходит в рамках регрессионного тестирования на стейджинге приложений. Выравнивание и совместимость — ресурсозатратная, но необходимая активность. На такие процессы ритейлер выделяет время команд.
Поддержка стека open source также становится нетривиальной задачей. Александр Краснов из «Инфосистемы Джет» отмечает: «Продуктов с открытым исходным кодом крайне много, в случае проблем и вопросов компании остаются с ними наедине. Получается, поддержка требует экспертизы по каждому из используемых продуктов. Накапливать ее у себя? Это дорого. Поэтому часто логичным шагом для бизнеса становится передача обслуживания open source во вне. Это яркий тренд, потому что по сравнению с 2019 г. это направление бизнеса в нашей компании выросло на 25%».
Планы насмарку
Открытое ПО может сработать отлично, а может и не взлететь. Иногда получается очень удачно. «Один из успешных примеров — замена проприетарной системы API менеджмента на Open Source based, — рассказывает Александр Бондарик. — Это оказалось дешевле в полтора раза с точки зрения расходов на персонал и лицензии. Появились возможности коллаборации и доступ к бэклогу продукта. Проблемы отсутствия критически важного для нас функционала не было. Кроме того, удалось избежать рисков из-за изменения вендором курса развития софта».
Сложность же заключается в том, что спланировать все траты на старте не выходит. Затраты очень зависят от продукта — где-то получается «дешево отделаться», а местами использование open source выходит значительно дороже, чем покупка проприетарного ПО. «Посчитать затраты не так-то просто. Применение инструментов open source мало похоже на внедрение, скорее это новая культура плавного изменения инструментария и ландшафта предприятия, — подтверждает Александр Бондарик. — Для себя мы поняли, что за гибкость и свободу приходится расплачиваться большей ответственностью и усилиями. При использовании open source нужно принимать риски отказа систем из-за не обнаруженных вовремя проблем, возможную нехватку внешних ресурсов, готовых оперативно устранить инцидент, думать о сложностях при обновлении ПО и об уязвимостях. Рассчитывать приходится в основном на себя. Надо иметь экспертизу внутри компании или надежного партнера, быть готовыми тратить большую часть бюджета на R&D и сугубо технические задачи, без видимой и прямой монетарной ценности».
Единого ответа об open source entreprise нет. В каждом отдельном случае нужно взвешивать плюсы и минусы, риски и профит. И здесь важно помнить: ценность и затраты не лежат не поверхности. Многое зависит от курса развития вендора, геополитических рисков, связи с энтропией окружающей экосистемы, критичности обновления и уязвимостей, распространенности экспертизы на рынке.
Сергей Майдебура, директор по цифровой трансформации бизнеса компании «Байкал-Сервис ТК», считает, что сравнивать проприетарный и открытый софт напрямую неверно: «Это разные ниши. ПО от известных вендоров имеет низкий порог входа в администрирование, соответственно, специалистов найти проще, но на определенном этапе эксплуатации администрирование по цене выравнивается. Зато в open source-решениях отсутствуют траты на сам софт».
Открыто, входите
С «бесплатностью» все понятно, а что с открытостью? Open source оказался под пятой корпораций? Microsoft, Google, Red Hat, IBM, Intel составляют топ-5 компаний, вкладывающихся в СПО в 2021 г. (по данным Open Source Contributor Index).
Все больше адептов свободного ПО не просто изменяют решения под себя, нарабатывают экспертизу и пользуются получившимися продуктами, но и занимаются тем, что коммитят новый код обратно, в общее пользование. Зачем ИТ-компаниям эта открытость?
Компании, владеющие open source продуктом, только выигрывают. «С одной стороны, они обладают контролем над продуктом, и это дает гарантию его развития. Вендор будет делать доработки, и продукт сможет адаптироваться для решения тех или иных задач. С другой стороны, когда код остается открытым для сообщества, доработки появляются и без привлечения ресурсов вендора. В развитие вкладываются пользователи, взаимодействующие с инструментом, знающие его слабые места — такая работа очень ценна. Поэтому вендору точно нет смысла закрывать подобные проекты от сообщества», — уверен Александр Краснов.
Похожий ответ дают и представители «Леруа Мерлен». По их словам, выгода для бизнеса самая прямая: во-первых, если изменения не будут внесены обратно в репозиторий, новые обновления будут приходить без учета этих изменений. Во-вторых, больше шансов, что при масштабном использовании ПО другими участниками сообщества будут найдены дефекты.
Приверженцами open source стали как разработчики-энтузиасты, так и компании разных отраслей — ведь сегодня это самый демократичный метод разработки.
Мир быстро меняется и успешные организации стремятся этому соответствовать. Сегодня выигрывает тот, кто поощряет лучшие идеи, готов слышать честные советы, привлекать и сохранять самые яркие таланты — это и есть дух свободы и открытости, который лежит в основе open source. Эта идея отлично отражена в бестселлере «Открытая организация» Джима Уайтхёрста, топ менеджера компании Red Hat.
«Для компаний сейчас самое время использовать open source, поскольку одним из главных преимуществ ПО с открытым кодом является рентабельность. Благодаря этому подходу можно существенно сократить затраты на разработку или сделать эффективный апгрейд ИТ-инфраструктуры, а также получить быстрый доступ к новым технологиям, — говорит Тимур Кульчицкий, региональный менеджер Red Hat, Россия и СНГ. — Открытый код дает независимость от конкретного поставщика (vendor lock), делает возможным быстро вносить изменения, и позволяет организациям даже с ограниченным бюджетом развивать собственные проекты».