Перейти к содержанию

Выбор проприетарных или opensource-приложений для бизнеса | Блог Касперского

KL FC Bot
 Share

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

Приложения с открытым исходным кодом (open source) прочно обосновались в IT-системах крупного и среднего бизнеса. Начав с доминирования в таких сегментах, как веб-серверы, базы данных и аналитика, сегодня opensource-решения также весьма популярны для контейнеризации, машинного обучения, DevOps и, конечно, для разработки софта. Многие организации переходят на open source и для «не айтишных» задач, таких как CRM, производство графического контента и публикация блогов. В целом, по оценке Gartner, боле 95% организаций в сфере IT используют opensource-решения, но и среди не-IT-компаний цифры тоже уже превышают 40%. И это без учета тех многочисленных случаев, когда библиотеки с открытым исходным кодом используются внутри проприетарных приложений.

В России дополнительный толчок движению open source дало импортозамещение, поскольку адаптировать качественные opensource-разработки для отечественных реалий проще, чем вести их с нуля. Поэтому в России ускорились темпы перехода на открытые ОС, офисные инструменты и так далее.

Выбор открытого (open source) или проприетарного (closed source) решения далеко не прост — это не просто выбор «платного» против «бесплатного» или «без техподдержки» против «с техподдержкой». Для каждого IT-решения и для конкретной организации надо учитывать целый ряд важных аспектов.

Стоимость и график внедрения

Хотя стоимость лицензии на решения open source часто равна нулю, внедрение в организации не будет бесплатным. В зависимости от сложности решения потребуется выделить время IT-команды, привлечь специализированных консультантов по внедрению, а то и нанять разработчиков, которые будут все время адаптировать приложение под нужды организации.

Встречается гибридная модель лицензирования, когда community edition (общедоступная версия) приложения может быть использована бесплатно, но расширенная версия с корпоративными функциями все же требует платной лицензии.

К тому же многие opensource-разработки не снабжены полноценной и(или) актуальной документацией, учебными курсами для конечных пользователей. Для крупных внедрений этот дефицит, возможно, придется восполнять своими силами, тратя время и деньги.

Преимуществом open source на фазе внедрения, безусловно, является возможность полноценного тестирования. Даже если разворачивать opensource-разработку планируется в виде управляемого хостинга или с помощью специализированного подрядчика, запустить пилот (proof of concept) своими силами значительно эффективней, чем смотреть видеодемонстрации проприетарных решений. Сразу будет понятно, насколько функционально и применимо решение в условиях конкретной организации.

До внедрения, сравнивая решения open source и closed source, довольно важно понять, сколько времени есть на тестирование и допустимо ли сменить продукт на ранних этапах теста. Если запас есть и на второй вопрос ответ положителен, то разумно будет подробно протестировать open source.

 

View the full article

Ссылка на комментарий
Поделиться на другие сайты
Umnik Корифей

Umnik

Опубликовано
Опубликовано
Quote

Приложения с открытым исходным кодом (open source) прочно обосновались в IT-системах крупного и среднего бизнеса.

Факт. И это без тонн рекламы, обращаю внимание.

Quote

В целом, по оценке Gartner, боле 95% организаций в сфере IT используют opensource-решения, но и среди не-IT-компаний цифры тоже уже превышают 40%.

На самом деле ~100% компаний использует опен сорс. Потому что практически не существует программных продуктов, которые бы не использовали компоненты с открытым исходным кодом. То есть даже если ПО вдоль и поперёк с закрытыми исходниками, внутри него куча всего опен сорсного. Желающие могут ознакомиться с компонентами того же KIS4A и убедиться в этом.

Quote

В зависимости от сложности решения потребуется выделить время IT-команды, привлечь специализированных консультантов по внедрению, а то и нанять разработчиков, которые будут все время адаптировать приложение под нужды организации.

Аналогично будет и для проприетарного ПО. Точно также надо будет выделять людей для внедрения, для обучения. И закупать ещё услуги интеграторов, потому что без них вы просто не сможете сделать вообще ничего, т.к. документации нормальной нет, как нет и сообщества.

Quote

Встречается гибридная модель лицензирования, когда community edition (общедоступная версия) приложения может быть использована бесплатно, но расширенная версия с корпоративными функциями все же требует платной лицензии.

Так, давайте разберёмся. FOSS - это не про "бесплатно". Это про "свободно". Потому, из-за таких людей, как автор статьи, стали писать FLOSS. Free/libre and open source software. L добавили, чтобы ещё раз подчеркнуть, что это не про деньги. Даже вот такое объяснение дали: "think of free as in free speech, not as in free beer". Не знаю, как перевести с сохранением вот этого free как бесплатный и свободный, потому переведу в лоб: "воспринимайте "свободный" как "свобода слова", а не как "пивко на халяву"".

Итого. "Free" нужно переводить здесь не как "бесплатный", а как "свободный". Вообще ничего не говорится о деньгах. Раз я только что говорил об OSINT в другой теме, то в пример это и приведу. Вот свободное ПО для OSINT, отечественное. И при этом вполне себе платное. https://github.com/snooppr/snoop Есть бесплатная версия, но функциональность ограничена.

 

Как монетизировать FLOSS каждый решает сам. В том числе есть платные услуги сопровождения и техподдержки. Не нужна техподдержка - не плати.

Quote

К тому же многие opensource-разработки не снабжены полноценной и(или) актуальной документацией, учебными курсами для конечных пользователей.

Многие, да. Потому что опен сорса просто завались. Я, вот, не документирую свои проекты. Но когда речь идёт о проектах, на которых строится всё IT, то они задокументированы по самые помидоры. Никакому коммерческому ПО такое качество документации не снилось.

Quote

Как показывает практика внедрения open source, годовая техподдержка типичного корпоративного приложения в этом случае всего на 10-15% дешевле, чем для проприетарных решений.

Вот с этого я просто сгорел. Одно предложение, а столько вопросов:

  • Типа, 10% экономии - это мало или что? Это огромная цифра, вообще-то!
  • Это касается только тех случаев, когда поддержку покупают. А её можно и не покупать
  • Нет ни одного источника на исследование. Ноль! Вообще ноль, вообще ничего, никаких доказательств. Если для автора статьи слова ноунейма в Интернете являются сразу правдой, то вот моя оценка: переход на опен сорс позволяет вам сэкономить до 103%. Где рассчёты, на что опираюсь? Да я так сказал, вам этого мало или что?

Это прям премия за самый отвратительный источник.

Quote

Хотя зрелые opensource-решения регулярно обновляются, расширяются их функции и устраняются ошибки, нередко случается, что критичный для конкретной организации баг разработчики не считают приоритетным. Еще чаще это бывает с запросами на добавление новых функций. В таких случаях остается либо терпеливо ждать, либо тратить человеко-часы своих (или нанятых) разработчиков на создание нужных фрагментов кода. Хорошо, что это в принципе возможно, но плохо, что это может оказаться крупной и плохо прогнозируемой статьей расходов.

То ли дело проприетарное ПО, где просто кладут болт и всё. Разница между "можно исправить" и нельзя исправить вовсе" всё-таки заметна должна быть всем. Мне понадобилось изменить поведение инструмента для тестирования - взял да изменил: https://github.com/Exodus-Privacy/exodus-standalone/pull/44

Понадобилось другу-пожарному чуть упростить работу со специфичной прогой - взял да сделал https://github.com/DMyachin/PathfinderHandler/commit/b6e606d63f99affe58404ac7de424a9c0d153187 (автор скрыл оригинальный проект, полагаю, что из-за ухода с рынка той проги)

Были не согласия с поведением прилаги - взял да поменял под себя https://github.com/SimpleMobileTools/Simple-Contacts/commit/fc837af84f68e41a14ba9933bf524acb090db5f6

Был не согласен с поведением опен сорсных тестовых фреймворков - взял да переопределил поведение https://gitea.myachin.xyz/umnik/YAF

Quote

Иногда оказывается, что моновендорное решение с закрытым исходным кодом удовлетворяет этим требованиям лучше, чем зоопарк opensource-решений, даже качественных.

Так. WinAPI. Что ещё? Дот нет опен сорс, если что.

Quote

Достоинством open source часто называют более высокую безопасность. Ведь если все видят исходный код и любой может исправить найденную ошибку, то это безопасней проприетарного «черного ящика»?

В общем случае да. Три обратных примера не являются показателем массовости проблемы. Это раз. Проприетарные решения (с этого я начинал этот ответ) опираются на опен сорсные решения точно также, как они сами. Желающие могут взять _любой продукт_ (например от ЛК) и поискать в нём указания о стороннем коде. И найдёте. Типа вот такого https://support.kaspersky.com/help/KSC/CloudConsole/common/legal_notices.txt

 

Опен сорс не является волшебной палочкой. Но только говорить об этом нужно не так, как сказано тут. Сейчас это выглядит в целом как "зачем вам этот головняк, лучше купите".

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Банкер Mamont под видом приложения для трекинга | Блог Касперского
      От KL FC Bot
      Мы обнаружили новую схему распространения трояна-банкера Mamont. Злоумышленники обещают доставить некий товар по оптовым ценам, которые могут быть интересны как малому бизнесу, так и частным покупателям, и предлагают установить Android-приложение для отслеживания посылки. По факту же вместо трекинговой утилиты жертве подсовывают троян, служащий для перехвата финансовых учетных данных, пуш-уведомлений и другой важной информации.
      Схема мошенничества
      На ряде сайтов злоумышленники якобы продают различные товары по достаточно привлекательным ценам. Для покупки жертве предлагают присоединиться к закрытому чату в мессенджере Telegram, где размещены инструкции по размещению заказа. По сути эти инструкции сводятся к тому, что жертве нужно написать личное сообщение менеджеру. Сам канал существует для большей убедительности: в нем идет общение участников, которые задают уточняющие вопросы, получают ответы, что-то комментируют. Вероятно, среди участников этого чата есть как другие жертвы схемы, так и боты, которые создают видимость активной торговли.
       
      View the full article
    • KL FC Bot
      Фейковые приложения российских банков в App Store | Блог Касперского
      От KL FC Bot
      За последние несколько лет приложения практически всех российских банков исчезли из магазина App Store. Нет, сами приложения в порядке: получают обновления, новые фичи, ими по-прежнему можно пользоваться. Проблемы только с установкой: теперь поставить приложения отечественных банков на смартфон зачастую можно только с помощью специалистов этих самых банков.
      Свято место пусто не бывает, и в App Store завелись мошеннические приложения онлайн-банкинга. Только в ноябре 2024 года наши эксперты обнаружили несколько поддельных приложений, которые якобы позволяют клиентам в России вновь пользоваться услугами онлайн-банкинга. На момент публикации эти приложения уже были удалены из App Store, но мошенники легко могут выпустить новые аналогичные аппы. Как работают приложения-подделки и как их распознать — читайте в этом материале.
      App Store — не панацея от вредоносных приложений
      Официальный магазин приложений Apple принято считать практически неуязвимым. В отличие от Google Play, в него якобы не могут просочиться ни фальшивые приложения, ни вредоносное ПО. Это заблуждение: на самом деле в App Store пользователей подстерегают точно такие же опасности, как и в других магазинах. Да, возможно, в магазине Apple этих опасностей меньше, но они все еще есть. Так, в конце 2023 года мы посвятили большой пост теме фейковых инвестиционных приложений в App Store — прочитать его можно по ссылке, да и раньше не раз писали про поддельные приложения в App Store.
      Как мошенники просачиваются в официальный и, казалось бы, защищенный магазин? Известны как минимум два способа:
      Скамеры создают приложения-подделки с платными функциями. Иконка, название, интерфейс и даже тексты могут быть практически такими же, как в оригинальном приложении. Единственное исключение — наличие какой-либо платной функции. Например, в случае с банковскими приложениями мошенники предлагают заплатить за доступ к личному кабинету — от 299 до 999 рублей в зависимости от периода подписки. После того как жертва заплатит, в приложении откроется легитимная страница для входа в личный кабинет веб-версии банка, доступ к которой на самом деле совершенно бесплатный. Мошенники подменяют контент в приложении после прохождения модерации Apple. Абсолютно каждое приложение в App Store, равно как и в других популярных магазинах приложений, должно пройти внутреннюю модерацию. Скамеры научились обходить эту проверку, предположительно, так: на этапе модерации в приложении отображается безобидный легитимный контент, а после одобрения приложения происходит подмена. Такой трюк возможен благодаря тому, что подобные приложения подгружают контент из Интернета как обычные HTML-страницы, и ничего не мешает скамерам отредактировать эти страницы уже после прохождения модерации. Архитектура iOS выстроена таким образом, что все приложения в ней изолированы от системы и пользовательских данных. По этой причине антивирус в традиционном его виде попросту нельзя создать — доступа к другим приложениям и их контенту он не получит. Зато можно заблокировать переход по фишинговым страницам вместе с Kaspersky для iOS — наше решение не даст вам открыть опасную страницу, фишинговый контент из поддельного приложения не загрузится, вместо него вы увидите соответствующее предупреждение защитного приложения.
       
      View the full article
    • KеshaKost
      Контроль приложений
      От KеshaKost
      Добрый день. Подскажите пожалуйста, у меня есть достаточно большой список хешей файлов sha256, как можно их добавить в контроль приложений сразу все? Я нашел только добавление вручную по 1. Kaspersky Security Center 15
    • KL FC Bot
      Железо для SIEM-системы | Блог Касперского
      От KL FC Bot
      В какой-то момент ИБ-департамент крупной компании неизбежно задумывается о внедрении или замене SIEM-системы и сталкивается с задачей оценки бюджета, необходимого для ее внедрения. Но SIEM — это не легковесный продукт, который можно развернуть в имеющейся инфраструктуре. Практически все решения этого класса требуют дополнительного оборудования, так что для их работы придется приобретать аппаратное обеспечение (или арендовать его).
      Поэтому для расчетов бюджета необходимо представлять себе предполагаемую конфигурацию оборудования. В этом посте мы попробуем рассказать о том, как архитектура SIEM влияет на требования к аппаратной составляющей, а также предоставим примерные параметры, на которые стоит ориентироваться, чтобы определить предварительную стоимость необходимого оборудования.
      Оценка потока информации
      По своей сути SIEM-система собирает данные о событиях с источников и на основании корреляции этих данных выявляет угрозы для безопасности. Поэтому, прежде чем прикидывать, какое железо необходимо для работы системы, стоит оценить, а какой, собственно, объем информации эта система будет обрабатывать и хранить. Для того чтобы понять, какие источники потребуются, следует выделить наиболее критичные риски и определить источники данных, анализ которых поможет в выявлении и анализе угроз, связанных с этими рисками. Такая оценка нужна не только для расчета необходимого аппаратного обеспечения, но и для оценки стоимости лицензии. Например, стоимость лицензии на нашу систему KUMA (Kaspersky Unified Monitoring and Analysis Platform) напрямую зависит от количества событий в секунду (Events Per Second, EPS). И еще один важный аспект — при выборе SIEM-системы важно проверить, как именно вендор считает количество событий для лицензирования. Мы, например, учитываем количество EPS после фильтрации и агрегации, причем мы считаем среднее количество событий за последние 24 часа, а не их пиковые значения, но так поступают далеко не все.
       
      View the full article
    • KL FC Bot
      Как правильно настроить приватность в беговых приложениях | Блог Касперского
      От KL FC Bot
      Приложения для фитнеса в силу своей природы имеют доступ к большому количеству персональных данных, особенно те, которые отслеживают разнообразные активности на свежем воздухе, в первую очередь — бег. Во время трекинга они собирают массу данных: пульс и другие параметры физической активности, количество шагов, пройденную дистанцию, перепад высот и, разумеется, геолокацию, — для максимально подробного анализа тренировки.
      А люди редко занимаются бегом в каких-то случайных местах. Обычно их маршруты повторяются и расположены где-нибудь рядом с домом, работой, учебой, военной базой… То есть местом, где человек бывает часто и, скорее всего, в одно и то же время. Что будет, если эта информация попадет не в те руки?
      Последствия могут быть катастрофическими. Так, несколько лет назад опубликованная одним из беговых приложений карта выдала местоположение целого ряда секретных военных объектов. А летом 2023 года, предположительно, благодаря данным из того же приложения, наемным убийцей во время пробежки был застрелен командир российской подводной лодки Станислав Ржицкий.
      Разумеется, утечка геоданных может быть опасна не только для военных. Несложно представить сценарии, в которых она может привести к неприятностям не только для очевидных целей таргетированной атаки (например, знаменитостей, политических деятелей или топ-менеджеров какой-либо компании), но и для обычных людей.
      Зная о ваших перемещениях, злоумышленники с удовольствием используют их для шантажа и устрашения. Пресловутое «я знаю, где ты живешь и все твои передвижения» значительно повышает вероятность того, что жертва испугается и выполнит требования мошенников.
      Помимо прямых угроз, геотрекинг прекрасно дополняет данные, утекшие из других приложений или собранные при помощи доксинга, что заметно повышает успех таргетированной атаки. И не стоит думать, что уж вы-то точно не заинтересуете мошенников настолько, чтобы устраивать сложную атаку. Жертвой может стать каждый, и далеко не всегда конечной целью злоумышленников является финансовая выгода.
      Но не только геоданные собираются и анализируются приложениями для бега. Как и все фитнес-аппы, они следят за активностью и физическим состоянием, которые могут многое рассказать о здоровье человека. И эта информация также может оказаться полезной для атаки с применением социального инжиниринга. Ведь чем больше злоумышленник знает о жертве, тем изощреннее и эффективнее его действия.
      Так что к выбору приложения для трекинга бега и настройке его конфиденциальности стоит подойти максимально осознанно — и в этом вам помогут наши советы.
      Общие советы по выбору бегового приложения и настройке приватности в нем
      Первое, что делать категорически не стоит, — устанавливать подряд все трекеры бега и затем выбирать наиболее понравившийся. Таким образом вы передадите свои персональные данные всем подряд, что значительно увеличит риск их попадания в руки злоумышленников. Чем меньшим количеством приложений вы пользуетесь, тем меньше риск утечки. Но стоит помнить, что ни одна компания не может гарантировать стопроцентную сохранность данных.
      Кто-то вкладывается в безопасность своих пользователей больше, кто-то меньше, и предпочтение лучше отдавать тем, кто серьезно подходит к сохранности и анонимизации пользовательских данных. Для этого стоит внимательно изучить политику конфиденциальности (Privacy Policy) выбранного приложения. Добросовестные разработчики укажут, какие данные собирает приложение, с какой целью, какие из них могут быть переданы третьей стороне, какие права у пользователя в отношении персональных данных и так далее. Дополнительно полезно будет поискать в Сети или поинтересоваться у ИИ-ассистента, были ли случаи утечек данных у интересующего вас приложения. Для этого достаточно в поисковом запросе указать название приложения плюс data breaches или data leak. Ну и, разумеется, отзывы пользователей тоже никто не отменял.
       
      View the full article
×
×
  • Создать...