Перейти к содержанию

Выбор проприетарных или opensource-приложений для бизнеса | Блог Касперского

KL FC Bot
 Поделиться

Рекомендуемые сообщения

KL FC Bot

KL FC Bot

Опубликовано
Опубликовано

Приложения с открытым исходным кодом (open source) прочно обосновались в IT-системах крупного и среднего бизнеса. Начав с доминирования в таких сегментах, как веб-серверы, базы данных и аналитика, сегодня opensource-решения также весьма популярны для контейнеризации, машинного обучения, DevOps и, конечно, для разработки софта. Многие организации переходят на open source и для «не айтишных» задач, таких как CRM, производство графического контента и публикация блогов. В целом, по оценке Gartner, боле 95% организаций в сфере IT используют opensource-решения, но и среди не-IT-компаний цифры тоже уже превышают 40%. И это без учета тех многочисленных случаев, когда библиотеки с открытым исходным кодом используются внутри проприетарных приложений.

В России дополнительный толчок движению open source дало импортозамещение, поскольку адаптировать качественные opensource-разработки для отечественных реалий проще, чем вести их с нуля. Поэтому в России ускорились темпы перехода на открытые ОС, офисные инструменты и так далее.

Выбор открытого (open source) или проприетарного (closed source) решения далеко не прост — это не просто выбор «платного» против «бесплатного» или «без техподдержки» против «с техподдержкой». Для каждого IT-решения и для конкретной организации надо учитывать целый ряд важных аспектов.

Стоимость и график внедрения

Хотя стоимость лицензии на решения open source часто равна нулю, внедрение в организации не будет бесплатным. В зависимости от сложности решения потребуется выделить время IT-команды, привлечь специализированных консультантов по внедрению, а то и нанять разработчиков, которые будут все время адаптировать приложение под нужды организации.

Встречается гибридная модель лицензирования, когда community edition (общедоступная версия) приложения может быть использована бесплатно, но расширенная версия с корпоративными функциями все же требует платной лицензии.

К тому же многие opensource-разработки не снабжены полноценной и(или) актуальной документацией, учебными курсами для конечных пользователей. Для крупных внедрений этот дефицит, возможно, придется восполнять своими силами, тратя время и деньги.

Преимуществом open source на фазе внедрения, безусловно, является возможность полноценного тестирования. Даже если разворачивать opensource-разработку планируется в виде управляемого хостинга или с помощью специализированного подрядчика, запустить пилот (proof of concept) своими силами значительно эффективней, чем смотреть видеодемонстрации проприетарных решений. Сразу будет понятно, насколько функционально и применимо решение в условиях конкретной организации.

До внедрения, сравнивая решения open source и closed source, довольно важно понять, сколько времени есть на тестирование и допустимо ли сменить продукт на ранних этапах теста. Если запас есть и на второй вопрос ответ положителен, то разумно будет подробно протестировать open source.

 

View the full article

Umnik

Umnik

Опубликовано
Опубликовано
Quote

Приложения с открытым исходным кодом (open source) прочно обосновались в IT-системах крупного и среднего бизнеса.

Факт. И это без тонн рекламы, обращаю внимание.

Quote

В целом, по оценке Gartner, боле 95% организаций в сфере IT используют opensource-решения, но и среди не-IT-компаний цифры тоже уже превышают 40%.

На самом деле ~100% компаний использует опен сорс. Потому что практически не существует программных продуктов, которые бы не использовали компоненты с открытым исходным кодом. То есть даже если ПО вдоль и поперёк с закрытыми исходниками, внутри него куча всего опен сорсного. Желающие могут ознакомиться с компонентами того же KIS4A и убедиться в этом.

Quote

В зависимости от сложности решения потребуется выделить время IT-команды, привлечь специализированных консультантов по внедрению, а то и нанять разработчиков, которые будут все время адаптировать приложение под нужды организации.

Аналогично будет и для проприетарного ПО. Точно также надо будет выделять людей для внедрения, для обучения. И закупать ещё услуги интеграторов, потому что без них вы просто не сможете сделать вообще ничего, т.к. документации нормальной нет, как нет и сообщества.

Quote

Встречается гибридная модель лицензирования, когда community edition (общедоступная версия) приложения может быть использована бесплатно, но расширенная версия с корпоративными функциями все же требует платной лицензии.

Так, давайте разберёмся. FOSS - это не про "бесплатно". Это про "свободно". Потому, из-за таких людей, как автор статьи, стали писать FLOSS. Free/libre and open source software. L добавили, чтобы ещё раз подчеркнуть, что это не про деньги. Даже вот такое объяснение дали: "think of free as in free speech, not as in free beer". Не знаю, как перевести с сохранением вот этого free как бесплатный и свободный, потому переведу в лоб: "воспринимайте "свободный" как "свобода слова", а не как "пивко на халяву"".

Итого. "Free" нужно переводить здесь не как "бесплатный", а как "свободный". Вообще ничего не говорится о деньгах. Раз я только что говорил об OSINT в другой теме, то в пример это и приведу. Вот свободное ПО для OSINT, отечественное. И при этом вполне себе платное. https://github.com/snooppr/snoop Есть бесплатная версия, но функциональность ограничена.

 

Как монетизировать FLOSS каждый решает сам. В том числе есть платные услуги сопровождения и техподдержки. Не нужна техподдержка - не плати.

Quote

К тому же многие opensource-разработки не снабжены полноценной и(или) актуальной документацией, учебными курсами для конечных пользователей.

Многие, да. Потому что опен сорса просто завались. Я, вот, не документирую свои проекты. Но когда речь идёт о проектах, на которых строится всё IT, то они задокументированы по самые помидоры. Никакому коммерческому ПО такое качество документации не снилось.

Quote

Как показывает практика внедрения open source, годовая техподдержка типичного корпоративного приложения в этом случае всего на 10-15% дешевле, чем для проприетарных решений.

Вот с этого я просто сгорел. Одно предложение, а столько вопросов:

  • Типа, 10% экономии - это мало или что? Это огромная цифра, вообще-то!
  • Это касается только тех случаев, когда поддержку покупают. А её можно и не покупать
  • Нет ни одного источника на исследование. Ноль! Вообще ноль, вообще ничего, никаких доказательств. Если для автора статьи слова ноунейма в Интернете являются сразу правдой, то вот моя оценка: переход на опен сорс позволяет вам сэкономить до 103%. Где рассчёты, на что опираюсь? Да я так сказал, вам этого мало или что?

Это прям премия за самый отвратительный источник.

Quote

Хотя зрелые opensource-решения регулярно обновляются, расширяются их функции и устраняются ошибки, нередко случается, что критичный для конкретной организации баг разработчики не считают приоритетным. Еще чаще это бывает с запросами на добавление новых функций. В таких случаях остается либо терпеливо ждать, либо тратить человеко-часы своих (или нанятых) разработчиков на создание нужных фрагментов кода. Хорошо, что это в принципе возможно, но плохо, что это может оказаться крупной и плохо прогнозируемой статьей расходов.

То ли дело проприетарное ПО, где просто кладут болт и всё. Разница между "можно исправить" и нельзя исправить вовсе" всё-таки заметна должна быть всем. Мне понадобилось изменить поведение инструмента для тестирования - взял да изменил: https://github.com/Exodus-Privacy/exodus-standalone/pull/44

Понадобилось другу-пожарному чуть упростить работу со специфичной прогой - взял да сделал https://github.com/DMyachin/PathfinderHandler/commit/b6e606d63f99affe58404ac7de424a9c0d153187 (автор скрыл оригинальный проект, полагаю, что из-за ухода с рынка той проги)

Были не согласия с поведением прилаги - взял да поменял под себя https://github.com/SimpleMobileTools/Simple-Contacts/commit/fc837af84f68e41a14ba9933bf524acb090db5f6

Был не согласен с поведением опен сорсных тестовых фреймворков - взял да переопределил поведение https://gitea.myachin.xyz/umnik/YAF

Quote

Иногда оказывается, что моновендорное решение с закрытым исходным кодом удовлетворяет этим требованиям лучше, чем зоопарк opensource-решений, даже качественных.

Так. WinAPI. Что ещё? Дот нет опен сорс, если что.

Quote

Достоинством open source часто называют более высокую безопасность. Ведь если все видят исходный код и любой может исправить найденную ошибку, то это безопасней проприетарного «черного ящика»?

В общем случае да. Три обратных примера не являются показателем массовости проблемы. Это раз. Проприетарные решения (с этого я начинал этот ответ) опираются на опен сорсные решения точно также, как они сами. Желающие могут взять _любой продукт_ (например от ЛК) и поискать в нём указания о стороннем коде. И найдёте. Типа вот такого https://support.kaspersky.com/help/KSC/CloudConsole/common/legal_notices.txt

 

Опен сорс не является волшебной палочкой. Но только говорить об этом нужно не так, как сказано тут. Сейчас это выглядит в целом как "зачем вам этот головняк, лучше купите".

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Поддержка passkeys в бизнес-приложениях | Блог Касперского
      Автор KL FC Bot
      Переход на ключи доступа (КД, passkeys) сулит организациям экономически эффективный способ надежной аутентификации сотрудников, увеличение продуктивности и достижение регуляторного соответствия. Все за и против этого решения для бизнеса мы подробно разобрали в отдельной статье. Но на успех проекта и саму его возможность влияют технические подробности и особенности реализации технологии в многочисленных корпоративных системах.
      Поддержка passkeys в системах управления identity
      Перед тем как решать организационные проблемы и писать политики, стоит разобраться, готовы ли к переходу на КД основные ИТ-системы в организации.
      Microsoft Entra ID (Azure AD) полностью поддерживает КД и позволяет администраторам выбрать КД в качестве основного метода входа в систему.
      Для гибридных внедрений, где есть on-prem-ресурсы, Entra ID может генерировать токены Kerberos (TGT), которые затем будет обрабатывать доменный сервер Active Directory.
      А вот для входа через RDP и VDI и входа в AD, работающую только on-premises, нативной поддержки у Microsoft пока нет. Впрочем, с некоторыми ухищрениями организация может записывать passkey на аппаратный токен, например YubiKey, который будет одновременно поддерживать традиционную технологию PIVKey (смарт-карты) и FIDO2. Также для поддержки этих сценариев есть сторонние решения, но организации потребуется оценить, как их применение влияет на общую защищенность и регуляторное соответствие.
      В Google Workspace и Google Cloud есть полная поддержка passkeys.
      Популярные системы управления identity, такие как Okta, Ping, Cisco Duo, RSA ID Plus, поддерживают FIDO2 и все основные формы КД.
       
      View the full article
    • KL FC Bot
      Как настроить безопасность и приватность в приложениях Garmin | Блог Касперского
      Автор KL FC Bot
      Умные спортивные часы продолжают привлекать пристальное внимание злоумышленников, позволяя получить множество интересной информации о потенциальной жертве. Мы уже писали о том, как трекинговые приложения собирают данные своих владельцев и делятся ими — большинство из них по умолчанию отображают логи ваших тренировок, включая точную геопозицию, всем желающим.
      Спортивные часы, как выяснилось, продолжают тенденцию расслабленного подхода к защите персональных данных своих владельцев. Так, в конце июня 2025 года появилась информация о серьезных уязвимостях во всех часах COROS, дающих доступ не только к самим часам, но и к аккаунту пользователя. Воспользовавшись этими уязвимостями, злоумышленники могут получить полный доступ к данным в аккаунте жертвы, перехватывать конфиденциальную информацию (например, уведомления), менять настройки устройства или сбрасывать их до заводских и даже прерывать запись трека тренировки с потерей всех данных.
      Что особенно неприятно — COROS была уведомлена об этих проблемах еще в марте 2025 года, но исправления планируются только к концу года.
      Похожие уязвимости в 2022 году были обнаружены (но вскоре закрыты) и у, пожалуй, самого популярного производителя спортивных часов и других спортивных гаджетов — Garmin.
      На фоне подобных угроз хочется по максимуму защитить свою приватность, правильно настроив безопасность в спортивных приложениях. Сегодня мы разберем, как защитить свои данные в Garmin Connect и Connect IQ Store — двух сервисах одной из наиболее популярных экосистем спортивных гаджетов.
       
      View the full article
    • KL FC Bot
      Лучшие приложения для путешествий: карты, такси, еда, Интернет | Блог Касперского
      Автор KL FC Bot
      Лето в самом разгаре, а это значит одно — пора путешествовать! Помните, как раньше готовились к поездкам? Покупали небольшой путеводитель, маленькую книжку-переводчик и допрашивали всех друзей и заядлых туристов: «Что там посмотреть? Сколько стоят экскурсии? А как сим-карту оформить?»
      Сегодня мир изменился, организовать комфортное путешествие можно, сидя дома на диване со смартфоном в руках, а подготовиться к нему — у гейта в аэропорту. Нужно всего лишь загрузить правильные приложения. В этом материале рассказываем, как подготовить себя и свой смартфон к поездке.
      Как не потеряться в новой локации? Как оставаться на связи? Как передвигаться с комфортом? Как насладиться городом, как местный житель? Как находить места, где можно вкусно поесть? Как путешествовать безопасно?   View the full article
    • KL FC Bot
      Фишинг для пользователей Ledger | Блог Касперского
      Автор KL FC Bot
      До недавнего времени злоумышленники в основном интересовались криптокошельками исключительно домашних пользователей. Однако, по всей видимости, бизнес все чаще стал использовать криптовалюту — теперь злоумышленники пытаются добраться и до кошельков организаций. За примерами далеко ходить не надо. Недавно исследованный коллегами зловред Efimer, рассылаемый организациям, умеет подменять адреса криптокошельков в буфере обмена. В России организации не имеют права рассчитываться криптовалютой, но, тем не менее, некоторые используют ее в качестве инвестиций. Поэтому функциональность, связанная с криптокошельками, появилась даже в зловредах, используемых в атаках исключительно на российские организации. Вредоносное ПО семейства Pure, например, не только подменяет адреса в буфере, но также охотится и за учетными данными программных криптокошельков. Поэтому мы не очень удивились, когда увидели и криптовалютный фишинг, направленный не только на домашних, но и на корпоративных пользователей. Чему мы удивились, так это легенде и, в целом, качеству этого фишинга.
      Фишинговая схема
      Сама по себе схема нацелена на пользователей аппаратных криптокошельков Ledger: Nano X и Nano S Plus. Злоумышленники рассылают фишинговое письмо, в котором многословно извиняются за допущенный промах — якобы из-за технического недочета сегменты приватного ключа от криптокошелька были переданы на сервер Ledger. И он в общем-то был очень хорошо защищен и зашифрован, но вот команда обнаружила очень сложную утечку, в ходе которой атакующие эксфильтрировали фрагменты ключей и при помощи крайне продвинутых методов расшифровали их и реконструировали часть ключей, что привело к краже криптоактивов. И чтобы через эту уязвимость не взломали еще и ваш криптокошелек, авторы письма рекомендуют немедленно обновить микропрошивку устройства.
      Фишинговое предупреждение о необходимости обновления микропрошивки
       
      View the full article
    • KL FC Bot
      За и против технологии passkeys | Блог Касперского
      Автор KL FC Bot
      Технологию ключей доступа (КД, passkeys) рекламируют все ИТ-гиганты как эффективную и удобную замену паролям, которая может покончить с фишингом и утечками учетных данных. Суть в следующем — человек входит в систему при помощи криптографического ключа, сохраненного в специальном аппаратном модуле на его устройстве, а разблокирует эти данные при помощи биометрии или ПИН-кода. Мы подробно разобрали текущее положение дел с passkeys для домашних пользователей в двух статьях (терминология и базовые сценарии использования, сложные случаи), но у компаний к ИБ-технологиям совершенно другие требования и подходы. Насколько хороши ключи доступа и FIDO2 WebAuthn в корпоративной среде?
      Мотивы перехода на passkeys в компании
      Как и любая крупная миграция, переход на ключи доступа требует бизнес-обоснования. В теории passkeys решают сразу несколько злободневных проблем:
      Снижают риски компрометации компании с использованием кражи легитимных учетных записей (устойчивость к фишингу — главное заявленное преимущество КД). Повышают устойчивость к другим видам атак на identity, таким как перебор паролей — brute forcing, credential stuffing. Помогают соответствовать регуляторным требованиям. Во многих индустриях регуляторы обязуют применять для аутентификации сотрудников устойчивые методы, и passkeys обычно признаются таковыми. Снижают затраты. Если компания выбрала passkeys, хранящиеся в ноутбуках и смартфонах, то высокого уровня безопасности можно достичь без дополнительных затрат на USB-устройства, смарт-карты, их администрирование и логистику. Повышают продуктивность сотрудников. Хорошо налаженный процесс аутентификации повседневно экономит время каждому сотруднику и снижает процент неудачных входов в ИТ-системы. Также переход на КД обычно увязывают с отменой всем привычных и ненавистных регулярных смен пароля. Снижают нагрузку на хелпдеск за счет уменьшения числа заявок, связанных с забытыми паролями и заблокированными учетными записями.  
      View the full article
×
×
  • Создать...