Комментарии 69
Интересное интервью
Когда я говорю, что нельзя государственные информационные системы строить исключительно на open source, я имею в виду, что государственные служащие берут сами какие-то компоненты, сами пишут, сами адаптируют и сами внедряют. Потом люди, которые писали эти решения, уходят, а в госструктуре остаются те, кто не знает, как всё внутри устроено. Дальше эти решения ломаются.
Очень интересна мысль о том, что нельзя использовать свободные программы, потому что свободные программы приводят к увольнению ответственных и компетентных сотрудников. Значит, именно свободные программы сами собой добиваются того, что разработчики уходят с этой работы и переходят на другую. Потрясающе, да. Программы начинают управлять людьми, причём не все программы — а только свободные.
Насыщают, так сказать, сотрудников государственного учреждения своим лицензионным ароматом.
"...сами пишут, сами адаптируют, сами внедряют...." а потом приходит эффективный менеджер в лице ... например главбуха и говорит - а нахрена нам эти бездельники которые только кофе пьют и ничего не делают, а давайте их сократим или платить будем только за вызов на работу.
А затем следует - "...люди, которые писали эти решения, уходят, а в госструктуре остаются те, кто не знает, как всё внутри устроено. Дальше эти решения ломаются..."
P.S. но вероятно бывают и другие варианты :-)
А откуда вы взяли, что «свободные программы приводят к увольнению»? Получается, что при вольном пересказе приведенной вами же цитаты, вы проталкиваете лично свою мысль. У Касперской этого нет. Все же не надо забывать про всем известное правило «после не означает поэтому»…
Очень может быть, что вы правы и я неверно понял её мысль. Прошу вас выразить эту мысль так, как поняли вы. Я вот вижу, что она против свободных программ, потому что их трудно поддерживать штатными силами, потому что за штатные силы не платят. А коммерческие программы легко поддерживать, потому что за подрядчику платят за поддержку.
То есть штатному — не платят, а подрядчику — платят. И в этом недостаток свободных программ.
Теперь положим, что я ошибся. Как же надо понимать её мысль?
Спасибо.
Давайте я скажу.
Мысль в том что не надо делать. Надо брать готовое сделанное теми кто это умеет делать. Мысль очень правильная, очередное поделие не нужно. Берите лучшее с рынка.
То есть надо брать готовое ПО, сделанное теми, кто умеет это делать. Надо брать лучшее ПО с рынка.
Однако нельзя брать готовое ПО, сделанное теми, кто умеет это делать, если оно свободное. Нельзя брать лучшее ПО с рынка, если оно свободное.
Правильно ли я понял?
Не правильно.
Надо брать лучшее с рынка сделанное профессионалами. И не лезть в то как они делают. Не надо делать самим на основе чего угодно. Пусть даже опенсорс выглядит так что пара студентов за квартал допилят до того что вам нужно. Все равно не делайте этого. Купите у тех кто умеет.
Яркий пример это ПосгресПРО. Он на самом деле стоит своих денег.
Но если лучшее с рынка, сделанное профессионалами, свободное, тогда нельзя его брать? Вот, например, MediaWiki? Или вот Apache?
То есть лучше купить коммерческое, чтобы пара студентов за квартал допилила коммерческое ПО до нужного?
Не надо. Берите Конфлюенс и коммерческое что-угодно (сорри не владею информацией что сейчас лучше, сам использую совсем частную разработку вам не подойдет) развертывания софта на серверах. Или для чего вы там Апач собрались использовать. Оно точно будет лучше и в итоге вы даже денег сэкономите.
То есть надо строить веб-сайт на базе Конфлюэнса?
Медиа вики на Конфлуенс заменить надо. Веб сайт строить можно много на чем. Тильда, Битрикс для простых решений. Дальше уже зависит от. Вариантов тоже много. Самим писать точно не надо.
Вы помните контекст? Речь не про софтверные компании. И даже не про корпорации, которые сами разберутся. А про обычный бизнес. Им надо просто купить. На рынке много всего хорошего.
Значит, нельзя пользоваться Drupal, DokuWiki, Joomla, LaTeX, Wordpress и Inkscape, потому что их получают бесплатно по свободной лицензии?
Ведь в статье-то идёт речь не про «самим писать», а про «нельзя брать свободное». Я ещё раз процитирую:
нельзя государственные информационные системы строить исключительно на open source. ... Пусть лучше профессиональные разработчики занимаются созданием таких решений для госведомств. ... Да, они тоже пишут на open source.
По её мнению, нельзя платить своим сотрудникам за работу со свободным ПО, однако можно платить чужим сотрудникам за точно такую же работу со свободным ПО. Потому что свои сотрудники, может быть, уволятся, а чужие сотрудники не уволятся никогда.
По её мнению, нельзя платить своим сотрудникам за работу со свободным ПО, однако можно платить чужим сотрудникам за точно такую же работу со свободным ПО
Именно. Чужие профессионалы. Они зарабатывают на этом деньги и годами собирают грабли. И с ними контракт который не даст им всем внезапно уволиться.
На чем основаны их разработки для бизнеса покупающего их в целом не важно. Важно качество готового решения, поддержка и все такое.
Я тут недавно понял страшную вещь. Для совместно редактируемых таблиц Эксель на голову выше вообще всего остального. Оказывается сделать нормальную не дергающуюся таблицу с фичами всякими которую сразу редактирует три человека в браузере и МС смог лучше всех.
Постойте минуточку, товарищ!
Вы пишете, что нужны профессионалы, нужны долгосрочные контракты, нужен опыт. Вот именно это всё и есть у своих штатных сотрудников.
Но ведь в статье-то говорится не про ваши очень верные аргументы. В статье сказано, что нельзя использовать свободную лицензию. И ещё сказано, что можно платить своим сотрудникам за использование платного софта, однако нельзя платить им же за использование бесплатного софта.
Вот, например, программа QGIS для картографирования. Это решение превосходного качества. Однако нельзя, потому что его исходники доступны по GPL.
Вопрос именно в штате и профессионалах. За деньги хорошие конторы вам дают гарантированный сервис и гарантированное качество. Обычный бизнес делая сам непрофильные для него штуки даже близко не может приблизиться к этому сервису и качеству делая что-то сам.
Это именно про бизнес. Что им делать когда бизнесу что-то нужно. Наталия верно говорит что купите у тех кто умеет это делать. Не делайте сами.
Вот бизнесу нужен веб-сайт. Поставить вордпресс самим нельзя, а заплатить за установку вордпресса можно, да?
Не надо ставить. Не надо заплатить чтобы поставили. Надо купить у Тильды или Битрикса готовое решение. За настройку или как это там сейчас называется тоже заплатить. И за контент заплатить.
Бизнес хорошо умет делать свою работу. Продавать ручки. Не надо распыляться и заниматься сайтом. Надо найти хорошего поставщика и платить ему за сайт. Не человека, поставщика. Человек завтра уволится. А с поставщиком контракт.
Тильда не позволяет бекапить сайт.
Битрикс не позволяет купить решение, а только подписаться, то есть вы каждый месяц платите, а взамен у вас ничего не остаётся.
Заплатить за контент? То есть заплатить третьим лицам за то, что производят сотрудники самого предприятия? То есть сначала заплатить сотрудникам за их работу, а потом ещё раз заплатить поставщику за уже сделанную работу? Но зачем такие сложности?
Человек завтра уволится, а поставщик завтра закроется. Договора с ними одинаковые и риски тоже одинаковые.
За деньги хорошие конторы вам дают гарантированный сервис и гарантированное качество.
Честно-честно? Тогда можно увидеть какое-нибудь EULA или другое соглашение на использование программного обеспечения, где есть хотя бы гарантия на пригодность для целей, для которых это ПО создавалось?
Вот на примере QGIS как раз может получиться так, что некий Вася выстраивает производственные процессы на основе этого открытого ПО, к нему прикручивает не менее бесплатный Geoserver, пишет какие-то свои плагины, а потом в один момент решает, что уже перерос это всё и увольняется и уходит. А в организации остается связка QGIS +Geoserver, неведомо как настроенная, плюс какие-то самописные плагины, на которые нет ни исходников ни документации. И если что-то ломается, то концов уже не найти.
Будет лучше, если QGIS настроил подрядчик, который закрыл свою фирму и уехал в другой город, оставя неведомо как настроенную программу? Которая, впрочем, и не требует настроек от подрядчика? И главное, при чём тут лицензирование?
Если производственный процесс основан на QGIS, почему же в этом производственном процессе нет штатного сотрудника, который понимает в QGIS (то есть умеет читать документацию)? И главное, при чём тут лицензирование?
А вот исходники к плагинам — почему они утрачены, а не сохранились в резервных копиях серверов, на которых всегда хранились? И главное, при чём тут лицензирование?
Оппонирование к свободным лицензиям у неё в ключе, что это можно взять достаточно просто, но никакой поддержки нет, а она нужна. Она же тут же в пример приводит, что своя поддержка может быть не эффективна в плане долгосрочности.
То есть своего сотрудника обязательно уволят, потому что денег нету, а подрядчику будут платить деньги всегда, даже когда денег нету?
Чужая поддержка точно так же может быть неэффективна, кстати в случае популярного свободного ПО у вас хотя бы чисто теоретически может быть шанс сменить поставщика поддержки, а вот в случае плохой поддержки закрытого решения вам придётся полностью менять решение, и потраченных денег вам тоже никто не вернет, и убытки не компенсирует.
Свободное ≠ Open Source
Свободное — это когда лицензия позволяет создавать производные работы. Для этого необходимо предоставлять исходники.
свободное ПО подмножество открытого ПО
Надо брать лучшее с рынка сделанное профессионалами. И не лезть в то как они делают.
Ну да, а потом профессионалы говорят, "мы больше не поддерживаем эту версию" или начинаю просить неприлично много денег, или уходят по каким-то причинам с рынка, или просто закрываются, и всё — приехали.
У всех версий всего нормального софта есть заранее известный срок жизни. К его концу проблем там обычно уже нет, но ничего нового в том числе железа поддержано уже не будет.
Бизнес или сразу закладывает обновление в известный срок или готовится жить на старой версии закладывая в том числе запасы железа на годы вперед.
Это нормальный процесс. Бизнес умеет с таким работать.
У всех версий всего нормального софта есть заранее известный срок жизни.
Ну да, как с Юбиками было, покупаешь точки, через год тебя уведомляют, о том, что ещё через год у твоих точек EoL
К его концу проблем там обычно уже нет
Только дыры никто не задевает, и бизнес сидит десятилетиями на старой дырявой версии
Это нормальный процесс. Бизнес умеет с таким работать.
Увольнения сотрудников тоже нормальный процесс, и нормально организованный бизнес тоже умеет с этим работать. Если у вас любой процесс в том числе и поддержка инфраструктуры построенной на Open Source софте, зависит от одного человека это просто означает что у вас не выстроены процессы. Закрытость Windows никак не спасает бизнес от бардака в AD.
У вас стандартная ошибка. Мол если нельзя сделать идеально, то и просто лучше делать не надо. Надо. Идеального ничего не бывает. С рисками надо работать и минимизировать их. В купленных у приличных контор решениях рисков заметно меньше чем в том что у вас допилили студенты.
В купленных у приличных контор решениях рисков заметно меньше
Это утверждение требует доказательства. То что за продуктом стоит корпорация этого не гарантирует хотя бы потому, что в абсолютном большинстве пользовательских соглашений написано, что они ни за что не отвечают и ничего не компенсируют. Все основание -- вера в "приличность" компании, что по мне так вообще странно, потому как все они руководствуются исключительно выгодой, а не какими-то моральными категориями вроде приличия, если завтра отдел маркетинга решит, что выгода от "неприличного" решения превышает репутационные риски, то компания сразу перестанет быть приличной. Пример я привел – Ubiquiti.
чем в том что у вас допилили студенты.
Можно нанять и не студентов. Я уже писал, в случае с открытым продуктом у вас есть пространство для маневра, в случае с закрытым вы попадаете в полную зависимость от вендора. Завтра вендор решает, что решение больше не поддерживается, и вы без вариантов идете все переделывать или покупать новую версию.
Вы опять про идеальные решения. Гарантии это оттуда. Надо просто лучше. Вендор делает лучше.
Версии любого софта имеют срок жизни и устаревают. Не бывает ничего вечного. Не надо что можно допилить самому. Нельзя. Компетенций не хватит. Надо просто понимать когда софт перейдет в статус устаревшего и быть готовым или жить с этим или обновляться.
Вендор делает лучше.
Или делает хуже. Пример тоже есть – 3CX.
Компетенций не хватит.
Это уже только от вас зависит. Компетенции не небесное благословение, а вещь вполне приобретаемая. Многие компании используют открытые решения, и им хватает компетенций их поддерживать, и передавать эти компетенции внутри компании.
Надо просто понимать когда софт перейдет в статус устаревшего
Юбики о которых я говорил, объявили об этом примерно за год. До этого знать, когда решение станет устаревшим было принципиально невозможно.
Бывает всякое. Я чуть выше писал про управление рисками. Посмотреть на вендора и как он раньте работал это разумно.
Компетенций все равно не хватит. Их нельзя нарастить. Я все еще про обычный бизнес. Не слишком крупный, допустим до 1000 человек. У них никогда не будет компетенций.
Узнать когда поддержка кончится можно почти всегда. Открыть типовой договор, например. Или погуглить по сайту. Исключения бывают, не сомневаюсь. Вычеркивайте таких из списка тех с кем стоит работать и все. Пусть умрут без денег.
Бывает всякое. Я чуть выше писал про управление рисками.
Именно. И закрытость только повышает риски, и никогда не снижает. Просто многие этого не видят, просто априорно считая, что если что-то стоит больше денег, то оно должно быть качественнее, и что если они заплатили, то о них позаботятся, но это не так – никто из вендоров официально этого не обещает.
Компетенций все равно не хватит.
Зависит исключительно от решения. Многие свободные продукты достаточно готовы к продакшену для того, чтобы быть внедренными и поддерживаться силами небольшой команды, или как минимум не превышающей команду необходимую для поддержки закрытых и часто дорогих альтернатив.Пример: OpenCart vs. Bitrix или Asterisk vs. вообще вся остальная ip-телефония.
Пусть умрут без денег.
Не умрут, как и люди, которые верят, что если кто-то берет с них деньги, то это автоматически означает наличие каких-то обязательств или более высокая качество продукта.
Посмотреть на вендора и как он раньте работал это разумно.
Cisco устроит?
Пусть умрут без денег.
Cisco умрёт? Вы в это сами-то верите?
В 99% случаев свободное ПО устанавливает и обслуживает не студент, а квалифицированный штатный специалист со многолетним опытом работы в госорганизациях.
Отчего вы придумали студентов, трудно понять.
В компании средней руки далекой от IT нет и не будет хороших специалистов. Откуда им там взяться? Чем их там загружать? Это не вы предлагали админу настраивать СКУДЫ и видеонаблюдение? Вот на таком уровне все там и будет.
А вот в подрядчике хорошие специалисты именно по вашей проблеме будут.
Ваши "хорошие специалисты", безусловно, есть в областном городе. Договор с таким специалистом стоит столько же, сколько три штатных сотрудника. Однако штатный сотрудник всегда здесь — а ваши "хорошие специалисты" приедут завтра, когда освободятся.
Договор на внедрение он разовый. Заплатили - работает. Софт аналогично. Купили - работает. А поддержка стоит не так много на самом деле.
Однако штатный сотрудник всегда здесь — а ваши "хорошие специалисты" приедут завтра, когда освободятся.
Анекдот в тему:
Звонок на фирму, которая занимается обслуживанием и ремонтом компьютерной техники:
- Здравствуйте, у меня принтер плохо печатает!
- Скорее всего, нужно почистить картридж. Это будет стоить 1000 рублей. Но будет лучше, если вы прочтете инструкцию и почистите его самостоятельно.
Удивленный клиент спрашивает:
- А ваше начальство в курсе, что так вы препятствуете бизнесу?
- Если честно, это его идея. Мы зарабатываем в разы больше, когда разрешаем клиентам сначала самим что-то починить.
Мысль была в том, что свободное по часто означает отказ от ответственности.
Мне кажется, что Наталья имела ввиду следующее: есть на работе человек, которому интересно заниматься разработкой. Он ею занимается. Разработка внедряется и работает. Никто не знает, что там под капотом и не отвечает за качество того, что у этой разработки под капотом. Затем этому человеку становится не интересно/скучно/некогда всем этим заниматься и он бросает поддержку своего поделия. Перерос, набрался опыта и ушёл. Потом что-то меняется, например, законодательство, и ПО начинает работать вне правового поля. Нового разработчика либо нет, либо ему сложно/невозможно разобраться с существующим ПО. Именно поэтому такое ПО будет обречено на провал. Именно так я понял её слова.
Собственно вот прямая цитата
Потом люди, которые писали эти решения, уходят, а в госструктуре остаются те, кто не знает, как всё внутри устроено. Дальше эти решения ломаются. Это известная тема.
Платят... не платят...
Вы постоянно хотите в ее словах обнаружить какой-то второй, потаенный смысл.
Все проще, как мне кажется. Не должны системы государственной значимости базироваться на шатком фундаменте. Что я понимаю под шаткостью? В самом общем случае - необязательность. Отсюда - повышенная вероятность нарваться...
Да, они тоже пишут на open source, но в схеме «госведомство»—«разработчик»—«конечный пользователь» есть посредник, ответственный за проблемы созданного ПО.
Обратите внимание на слова "они тоже пишут на open source". Решительно не вижу, как отсюда вытекает "что она против свободных программ"...
По поводу размещения важных инфраструктурных сервисов в облаках, когда начался этот хайп, я был в сильном недоумении - ведь риски и потенциальные проблемы в различных аспектах (юридическом, технологическом, безопасность и тд) лежали на поверхности! Действительно, есть ощущение, что все должно быть хорошо, не гарантии нет и вряд ли когда либо будет.
В свое время развернул почту для небольшой компании на яндексе, и ведь предчувствовал, что будут проблемы, но повелся на скорость и легкость развертывания.
В той или иной мере это проблема любого аутсорса. И надо просто оценить риски и удобства.
Даже если я отправляю контрагенту письмо через Почту России - у меня есть риск, что моё письмо прочитают или потеряют по дороге. Но вряд ли вы будете возить с нарочным каждое письмо.
многие компании возвращаются к собственной IT-инфраструктуре
Ну вот, теперь и другие начинают перенимать Ваши мысли. И мои мысли тоже.
В свое время развернул почту для небольшой компании на яндексе, и ведь предчувствовал, что будут проблемы, но повелся на скорость и легкость развертывания.
Зависит только от компании и процессов в ней. Если ее почта будет развернута на стоящем в углу сервере, который никто не обслуживает, и за бэкапами которого никто не следит, ее точно так же могут ждать неприятности, причем вероятно даже на большую сумму, чем 250 р. в месяц за пользователя. Сравнимый с Яндексом по уровню надежности и функционалу сервис при селфхосте будет иметь значительный уровень постоянных затрат, и будет дороже, если у вас компания на 20 человек, в которой даже эникея нет.
Сколько этих Касперских на белом свете? Наталья Касперская, Евгений Касперский, Крис Касперски...и все занимаются вирусами.
Наказание — вообще сложная тема.
А мне кажется, не такая уж и сложная, если отказаться от фиксированной суммы штрафов и привязать ее к процентам от прибыли/дохода.
Причем здесь прибыль компании? А то получается, что если у мелкого бухгалтера утекли данные десяти клиентов, ему это даром, а какому-нибудь яндексу за те же десять учеток - миллиардный шраф. В чем тут логика?
Может быть лучше от масштаба ущербаб то есть от количества пострадавших людей?
В чем тут логика?
Логика тут в том, что условные 10 тыс. рублей штрафа для мелкого бухгалтера будут чувствительны, а для какого-нибудь Яндекса это как укус комара. Вот и получается, что с нынешними штрафами их проще платить, чем вкладываться, например, в обеспечение безопасности данных клиентов. Если же превратить те самые 10 тыс. рублей, скажем, в 10% от прибыли, то такой штраф ощутит любая компания.
Может быть лучше от масштаба ущерба
Бесспорно, наказание должно быть адекватно содеянному — это один из основных принципов правосудия. Но опять же, наказание должно измеряться не в рублях, а в проценте от прибыли, чтобы провинившийся испытал, мягко говоря, дискомфорт и не захотел получить такой ощутимый штраф повторно.
Недаром в нормальных компаниях размер премии зависит от оклада. Потому что при зарплате 100 тыс. рублей премия 25000 ₽ — это целая четверть оклада, а при зарплате в 300 тыс. — капля в море.
Ну вот допустим будет по 10 т.р. за пострадавшего. Если и там и там по 10, то и шраф должен быть одинаковый. А если у крупного игрока утекла база значительной части пользователей, то по 10т.р. за каждого вполне себе нормально. Так же оно в принципе может превышать прибыль, и компания может разориться на штрафах - и это тоже нормально. А по вашей схеме, 10% от оборота просто превращаются в налог, который будут закладывать в экономику компании. Для них не будет стимула к снижению утечек, ибо ганарнтировать 100% они точно не смогут, а значит даже за небольшую долю утечек всё равно надо будет много платить. В схеме с "подушевым" штрафом, играет роль как раз масштаб. Да, утекло не много, но хотя бы не вообще всё. Имеет смысл работать над снижением.
Без относительно самой гостьи, статья является примером нормальной журналистики. Жаль, что получила не так много плюсиков.
Объединять базы в единую централизованную систему это опасно и неправильно, любой безопасник скажет что безопаснее всего держать 100500 рассредоточенных баз различной степени дырявости под контролем разных региональных чиновников различной степени корыстности и коррупционности..
Не важно какой у вас там процессор и какие в нем аппаратные дыры либо дыры в микрокоде и не важно какие дыры есть в гипервизоре чипсета.
Важно позолотить ручку, получить ключик и тогда безопасность в доме будет.
Интервью с Натальей Касперской: наказания за утечку данных, риски перехода в облака и open source-решения в госорганах