Перейти к содержанию

Выбор проприетарных или opensource-приложений для бизнеса | Блог Касперского


Рекомендуемые сообщения

Приложения с открытым исходным кодом (open source) прочно обосновались в IT-системах крупного и среднего бизнеса. Начав с доминирования в таких сегментах, как веб-серверы, базы данных и аналитика, сегодня opensource-решения также весьма популярны для контейнеризации, машинного обучения, DevOps и, конечно, для разработки софта. Многие организации переходят на open source и для «не айтишных» задач, таких как CRM, производство графического контента и публикация блогов. В целом, по оценке Gartner, боле 95% организаций в сфере IT используют opensource-решения, но и среди не-IT-компаний цифры тоже уже превышают 40%. И это без учета тех многочисленных случаев, когда библиотеки с открытым исходным кодом используются внутри проприетарных приложений.

В России дополнительный толчок движению open source дало импортозамещение, поскольку адаптировать качественные opensource-разработки для отечественных реалий проще, чем вести их с нуля. Поэтому в России ускорились темпы перехода на открытые ОС, офисные инструменты и так далее.

Выбор открытого (open source) или проприетарного (closed source) решения далеко не прост — это не просто выбор «платного» против «бесплатного» или «без техподдержки» против «с техподдержкой». Для каждого IT-решения и для конкретной организации надо учитывать целый ряд важных аспектов.

Стоимость и график внедрения

Хотя стоимость лицензии на решения open source часто равна нулю, внедрение в организации не будет бесплатным. В зависимости от сложности решения потребуется выделить время IT-команды, привлечь специализированных консультантов по внедрению, а то и нанять разработчиков, которые будут все время адаптировать приложение под нужды организации.

Встречается гибридная модель лицензирования, когда community edition (общедоступная версия) приложения может быть использована бесплатно, но расширенная версия с корпоративными функциями все же требует платной лицензии.

К тому же многие opensource-разработки не снабжены полноценной и(или) актуальной документацией, учебными курсами для конечных пользователей. Для крупных внедрений этот дефицит, возможно, придется восполнять своими силами, тратя время и деньги.

Преимуществом open source на фазе внедрения, безусловно, является возможность полноценного тестирования. Даже если разворачивать opensource-разработку планируется в виде управляемого хостинга или с помощью специализированного подрядчика, запустить пилот (proof of concept) своими силами значительно эффективней, чем смотреть видеодемонстрации проприетарных решений. Сразу будет понятно, насколько функционально и применимо решение в условиях конкретной организации.

До внедрения, сравнивая решения open source и closed source, довольно важно понять, сколько времени есть на тестирование и допустимо ли сменить продукт на ранних этапах теста. Если запас есть и на второй вопрос ответ положителен, то разумно будет подробно протестировать open source.

 

View the full article

Ссылка на сообщение
Поделиться на другие сайты
Quote

Приложения с открытым исходным кодом (open source) прочно обосновались в IT-системах крупного и среднего бизнеса.

Факт. И это без тонн рекламы, обращаю внимание.

Quote

В целом, по оценке Gartner, боле 95% организаций в сфере IT используют opensource-решения, но и среди не-IT-компаний цифры тоже уже превышают 40%.

На самом деле ~100% компаний использует опен сорс. Потому что практически не существует программных продуктов, которые бы не использовали компоненты с открытым исходным кодом. То есть даже если ПО вдоль и поперёк с закрытыми исходниками, внутри него куча всего опен сорсного. Желающие могут ознакомиться с компонентами того же KIS4A и убедиться в этом.

Quote

В зависимости от сложности решения потребуется выделить время IT-команды, привлечь специализированных консультантов по внедрению, а то и нанять разработчиков, которые будут все время адаптировать приложение под нужды организации.

Аналогично будет и для проприетарного ПО. Точно также надо будет выделять людей для внедрения, для обучения. И закупать ещё услуги интеграторов, потому что без них вы просто не сможете сделать вообще ничего, т.к. документации нормальной нет, как нет и сообщества.

Quote

Встречается гибридная модель лицензирования, когда community edition (общедоступная версия) приложения может быть использована бесплатно, но расширенная версия с корпоративными функциями все же требует платной лицензии.

Так, давайте разберёмся. FOSS - это не про "бесплатно". Это про "свободно". Потому, из-за таких людей, как автор статьи, стали писать FLOSS. Free/libre and open source software. L добавили, чтобы ещё раз подчеркнуть, что это не про деньги. Даже вот такое объяснение дали: "think of free as in free speech, not as in free beer". Не знаю, как перевести с сохранением вот этого free как бесплатный и свободный, потому переведу в лоб: "воспринимайте "свободный" как "свобода слова", а не как "пивко на халяву"".

Итого. "Free" нужно переводить здесь не как "бесплатный", а как "свободный". Вообще ничего не говорится о деньгах. Раз я только что говорил об OSINT в другой теме, то в пример это и приведу. Вот свободное ПО для OSINT, отечественное. И при этом вполне себе платное. https://github.com/snooppr/snoop Есть бесплатная версия, но функциональность ограничена.

 

Как монетизировать FLOSS каждый решает сам. В том числе есть платные услуги сопровождения и техподдержки. Не нужна техподдержка - не плати.

Quote

К тому же многие opensource-разработки не снабжены полноценной и(или) актуальной документацией, учебными курсами для конечных пользователей.

Многие, да. Потому что опен сорса просто завались. Я, вот, не документирую свои проекты. Но когда речь идёт о проектах, на которых строится всё IT, то они задокументированы по самые помидоры. Никакому коммерческому ПО такое качество документации не снилось.

Quote

Как показывает практика внедрения open source, годовая техподдержка типичного корпоративного приложения в этом случае всего на 10-15% дешевле, чем для проприетарных решений.

Вот с этого я просто сгорел. Одно предложение, а столько вопросов:

  • Типа, 10% экономии - это мало или что? Это огромная цифра, вообще-то!
  • Это касается только тех случаев, когда поддержку покупают. А её можно и не покупать
  • Нет ни одного источника на исследование. Ноль! Вообще ноль, вообще ничего, никаких доказательств. Если для автора статьи слова ноунейма в Интернете являются сразу правдой, то вот моя оценка: переход на опен сорс позволяет вам сэкономить до 103%. Где рассчёты, на что опираюсь? Да я так сказал, вам этого мало или что?

Это прям премия за самый отвратительный источник.

Quote

Хотя зрелые opensource-решения регулярно обновляются, расширяются их функции и устраняются ошибки, нередко случается, что критичный для конкретной организации баг разработчики не считают приоритетным. Еще чаще это бывает с запросами на добавление новых функций. В таких случаях остается либо терпеливо ждать, либо тратить человеко-часы своих (или нанятых) разработчиков на создание нужных фрагментов кода. Хорошо, что это в принципе возможно, но плохо, что это может оказаться крупной и плохо прогнозируемой статьей расходов.

То ли дело проприетарное ПО, где просто кладут болт и всё. Разница между "можно исправить" и нельзя исправить вовсе" всё-таки заметна должна быть всем. Мне понадобилось изменить поведение инструмента для тестирования - взял да изменил: https://github.com/Exodus-Privacy/exodus-standalone/pull/44

Понадобилось другу-пожарному чуть упростить работу со специфичной прогой - взял да сделал https://github.com/DMyachin/PathfinderHandler/commit/b6e606d63f99affe58404ac7de424a9c0d153187 (автор скрыл оригинальный проект, полагаю, что из-за ухода с рынка той проги)

Были не согласия с поведением прилаги - взял да поменял под себя https://github.com/SimpleMobileTools/Simple-Contacts/commit/fc837af84f68e41a14ba9933bf524acb090db5f6

Был не согласен с поведением опен сорсных тестовых фреймворков - взял да переопределил поведение https://gitea.myachin.xyz/umnik/YAF

Quote

Иногда оказывается, что моновендорное решение с закрытым исходным кодом удовлетворяет этим требованиям лучше, чем зоопарк opensource-решений, даже качественных.

Так. WinAPI. Что ещё? Дот нет опен сорс, если что.

Quote

Достоинством open source часто называют более высокую безопасность. Ведь если все видят исходный код и любой может исправить найденную ошибку, то это безопасней проприетарного «черного ящика»?

В общем случае да. Три обратных примера не являются показателем массовости проблемы. Это раз. Проприетарные решения (с этого я начинал этот ответ) опираются на опен сорсные решения точно также, как они сами. Желающие могут взять _любой продукт_ (например от ЛК) и поискать в нём указания о стороннем коде. И найдёте. Типа вот такого https://support.kaspersky.com/help/KSC/CloudConsole/common/legal_notices.txt

 

Опен сорс не является волшебной палочкой. Но только говорить об этом нужно не так, как сказано тут. Сейчас это выглядит в целом как "зачем вам этот головняк, лучше купите".

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      Мошенники — самые главные фанаты трендов. Toncoin на волне популярности? Они предлагают всем «заработать» на криптовалюте. Искусственный интеллект перешел на новую ступень развития? Держите голосовые дипфейки. Начался чемпионат Европы по футболу? Ожидаем месяц футбольных мошеннических кампаний.
      Евро-2024 объединит более 2,7 млн людей на стадионах и еще 12 млн в фанатских зонах, а сколько человек будет следить за главным футбольным турниром года — даже представить сложно. Многие из этих людей могут стать целями мошенников, поэтому нужно заранее позаботиться о защите и разобраться, какие бывают футбольные киберугрозы и как смотреть матчи любимой команды безопасно.
      Фальшивые билеты
      Традиционная угроза накануне любого крупного офлайн-мероприятия — мошенничество с билетами. Если коротко: покупайте билеты либо на официальном сайте УЕФА, либо в кассе стадиона, а не с рук или на подозрительных сайтах.
      Но что может пойти не так? Вот несколько наиболее популярных сценариев.
      Утечка платежных данных. Такое возможно, если вы проведете оплату картой на поддельном — фишинговом — сайте. Поэтому, прежде чем купить билет онлайн, убедитесь, что в адресе сайта нет опечаток, а его домен зарегистрирован не две недели назад. Утечка персональных данных. Этот сценарий возможен также при покупке на фишинговом сайте — мошенники могут «попросить» вас ввести не только банковские данные, но и фамилию, имя, место жительства, номер телефона и адрес почты. Насторожитесь, если для покупки билетов требуется больше личных данных, чем обычно. Загрузка вредоносного ПО. Мошенники могут предлагать купить билеты на Евро-2024 с помощью «специального приложения». Это безобидное на первый взгляд приложение может оказаться стилером, майнером или чем-нибудь еще более неприятным. Обнаружив предложение «скачать ПО для покупки билетов», игнорируйте его — вас пытаются обмануть. Все эти сценарии объединяет один итог — вы можете остаться без билетов, денег и с плохим настроением. Если вы хотите убедиться, что ваши данные уже не утекли, то установите себе Kaspersky Premium — он не только защитит ваши устройства от вирусов, а сетевой серфинг от фишинговых и вредоносных ссылок, но и автоматически проверит утечки данных ваших аккаунтов, привязанных к e-mail и номеру телефона.
       
      Посмотреть статью полностью
    • KL FC Bot
      От KL FC Bot
      Киберпреступники, промышляющие угоном паролей, постоянно придумывают все новые и новые способы доставки фишинговых писем. Например, они научились использовать легитимные функции Facebook* для отправки жертвам фейковых уведомлений о блокировке их бизнес-аккаунтов. Рассказываем, как работает эта схема, на что следует обращать внимание и какие меры стоит предпринять для защиты корпоративных учетных записей в соцсетях.
      Как происходит фишинговая атака на бизнес-аккаунты Facebook*
      Начинается все с того, что на электронную почту, привязанную к корпоративному аккаунту Facebook*, приходит письмо, действительно отправленное соцсетью. Внутри содержится угрожающая иконка с восклицательным знаком и тревожный текст: «Осталось 24 часа, чтобы запросить проверку. Узнайте почему».
      Письмо, действительно отправленное настоящим Facebook*, в котором содержится фейковое предупреждение о неприятностях с аккаунтом
       
      Посмотреть статью полностью
    • KL FC Bot
      От KL FC Bot
      В конце мая публичная библиотека образов Docker Hub внезапно стала недоступна с территории России. В Сети незамедлительно появилось множество рецептов по решению этой проблемы, суть которых в основном сводилась к созданным в спешке зеркалам и прокси-серверам для доступа к заблокированному ресурсу. Проблемы доступности образов эти способы действительно решают, но при этом увеличивают ИБ-риски и в первую очередь — вероятность атаки через цепочку поставок.
      Доступ к Docker Hub через несколько дней вернули, но гарантий, что он останется с нами навсегда, никто дать не может. Особенно в условиях современной геополитической напряженности. Разумеется, проблема не ограничивается одним Docker Hub — есть множество как опенсорсных, так и проприетарных ресурсов, которые активно используются в разработке ПО и при этом находятся за рубежом, а значит, в любой момент могут быть заблокированы (не с той стороны, так с этой). Поэтому случай с недоступностью Docker Hub следует расценивать как своего рода тревожный звонок: это повод заранее продумать, как именно вы планируете продолжить работу в случае чего, к каким рискам приведет выбранный вами способ, а главное — какие инструменты следует использовать, чтобы минимизировать эти риски.
      В чем риски использования обходных путей
      В последние годы злоумышленники все чаще пытаются организовывать атаки на цепочку поставок (supply chain attack) при помощи добавления вредоносной функциональности в публично доступные проекты. Как показывает недавняя история с XZ Utils, они ищут любую возможность для того, чтобы отравить репозитории. Внезапное отключение какого-либо репозитория здорово играет им на руку: девелоперы начинают в спешке искать способ восстановления непрерывности рабочего процесса и могут забыть о сопутствующих рисках.
      Главной проблемой любого «обходного» решения, будь то прокси или зеркало, является то, что вы не представляете, что за люди его сделали и каковы были их реальные намерения. Может, это группа разработчиков, которые действительно хотят помочь, а может быть, банда злоумышленников, увидевшая удобную возможность отравить популярный образ или пакет.
      Отдельный вопрос заключается в защищенности самих этих обходных решений. Даже если их создатели и не имели враждебных намерений, велика вероятность того, что они собирали свой проект в спешке и недостаточно тщательно продумали безопасность своего сервиса. А тем временем они тоже могут стать целью злоумышленников. Поэтому перед использованием полученных образов их необходимо сканировать на предмет закладок.
       
      Посмотреть статью полностью
    • KL FC Bot
      От KL FC Bot
      Двухфакторная аутентификация с помощью одноразовых кодов (OTP — one-time password) сегодня воспринимается многими как «лекарство от всех болезней» — и от фишинга спасет, и от методов социальной инженерии защитит, и все аккаунты в безопасности сохранит. Одноразовый код запрашивается сервисом в момент логина пользователя как дополнительный метод проверки, что в учетную запись входит действительно ее владелец. Он может генерироваться в специальном приложении непосредственно на устройстве пользователя, но увы — немногие заморачиваются установкой и настройкой приложений-аутентификаторов. Поэтому чаще всего сервисы отправляют проверочный код в виде SMS, письма на электропочту, пуш-уведомления, сообщения в мессенджере или даже голосового звонка.
      Этот код действует ограниченное время, и его использование значительно повышает уровень защиты, но… На OTP надейся, а сам не плошай: даже при наличии второго фактора аутентификации личные аккаунты остаются потенциально уязвимыми для OTP-ботов — автоматизированного ПО, способного выманивать у пользователей одноразовые пароли методом социальной инженерии.
      Какую роль эти боты играют в фишинге и как они работают — в этом материале.
      Как работают OTP-боты
      Эти боты управляются либо через контрольную панель в веб-браузере, либо через Telegram и выманивают у жертвы одноразовый пароль, имитируя, например, звонок из банка с запросом присланного кода. Работает схема следующим образом.
      Завладев учетными данными жертвы, мошенник заходит в ее аккаунт и получает запрос на ввод OTP-кода. Жертве на телефон приходит сообщение с одноразовым паролем. OTP-бот звонит жертве и с помощью заранее заготовленного скрипта требует от нее ввести полученный код. Жертва набирает код на клавиатуре телефона прямо во время звонка. Код поступает в Telegram-бот злоумышленника. Злоумышленник получает доступ к аккаунту жертвы. Ключевая функция OTP-бота — звонок жертве, и от убедительности бота зависит успех мошенников: время действия одноразовых кодов сильно ограничено, и шанс получить действующий код во время телефонного разговора гораздо выше. Поэтому OTP-боты предлагают множество функций, позволяющих тонко настраивать параметры звонка.
       
      Посмотреть статью полностью
    • KL FC Bot
      От KL FC Bot
      Во время расследования инцидента эксперты «Лаборатории Касперского» обнаружили новый шифровальщик-вымогатель, получивший название ShrinkLocker. Интересная особенность этого зловреда состоит в том, что для блокировки зараженных компьютеров его создатели искусно пользуются встроенными возможностями Windows. В частности, применяют для блокировки компьютера штатную утилиту для полнодискового шифрования — BitLocker.
      Чем опасен шифровальщик-вымогатель ShrinkLocker?
      Как и большая часть современных инструментов вымогателей, ShrinkLocker блокирует доступ к содержимому жесткого диска атакованного компьютера, шифруя его. По сути, делает это он при помощи активации штатной защитной функции Bitlocker.
      ShrinkLocker уменьшает разделы диска компьютера на 100 Мб (из этого, собственно, и происходит его название) и делает из свободного места собственный загрузочный раздел. При этом все резервные инструменты восстановления ключа Bitlocker удаляются, а использованный ключ отправляется на сервер злоумышленников.
      После перезагрузки пользователь видит стандартный экран ввода пароля Bitlocker. Поскольку запустить систему становится невозможным, вместо записки с требованием выкупа ShrinkLocker меняет метки всех дисков системы на контактный e-mail злоумышленников.
       
      Посмотреть статью полностью
×
×
  • Создать...