Java разработка в России в новых реалиях

Статус Java в России в 2023 году


23 февраля 2023


Компания Oracle, которая долгое время была главным поставщиком Java-продуктов в России, славится любовью к неожиданным изменениям политики лицензирования.

  • В 2019 г. компания прекратила выпуск бесплатных обновлений Oracle Java SE 8 для коммерческого использования.
  • В 2021 г. она объявила о сокращении цикла LTS-релизов (раз в два года вместо трех) и ввела новую лицензию «Oracle No-Fee Terms and Conditions» (NFTC), по условиям которой компания предоставляет бесплатные обновления LTS-версий Java в течение трех лет, а затем нужно мигрировать на следующую LTS-версию или оформлять коммерческую подписку. Предложение действительно только для компаний, ранее не оформивших подписку на продукты Oracle.
  • В 2023 г. Oracle кардинально изменила модель ценообразования. По новым правилами число приобретаемых лицензий рассчитывается не по количеству ядер, а по количеству сотрудников компании, включая временных и внештатных.

На самом деле, какие бы еще сюрпризы не готовила Oracle, для российских пользователей это уже не имеет значения, ведь в 2022 году компания ушла с российского рынка. Помимо Oracle, Россию покинули и другие западные вендоры Java-технологий: Red Hat, IBM, SAP, Google.

С одной стороны, больше не нужно жить в напряженном ожидании новых изменений лицензирования Oracle Java. С другой стороны, критическую ИТ-инфраструктуру нужно поддерживать и развивать, а значит переводить на другой стек Java-технологий. Какой выбор есть у российских компаний?

  • Использовать бесплатные Open Source решения;
  • Перейти на Axiom JDK Pro, единственный Java-дистрибутив, внесенный в реестр российского ПО.

Использовать открытое ПО без поддержки поставщика и не платить ни копейки — звучит заманчиво. Но насколько этот вариант опасен для крупных компаний, прежде всего для КИИ (критической информационной инфраструктуры), финтеха и ГИС (государственных информационных систем)? Давайте разбираться.

  1. Чем грозит свободное плавание по морю опенсорса
    1. Риск №1 Нарушение условий лицензии
    2. Риск №2 Намеренная порча опенсорсных пакетов
    3. Риск №3 Несвоевременные обновления
    4. Риск №4 Несоблюдение требований цифрового суверенитета
  2. Что предлагает Axiom JDK
    1. Полный стек Java-технологий взамен ушедшим
    2. Доверенное отечественное ПО
    3. Уникальный функционал
    4. Российская техподдержка 24/7
  3. Axiom JDK — флагман отечественных Java-технологий

Чем грозит свободное плавание по морю опенсорса

Риск №1 Нарушение условий лицензии

Точное число Open Source лицензий назвать сложно — их насчитывается более сотни. Чаще всего речь идет о вариациях самых популярных лицензий GPLv2, LGPL, MIT, BSD, Apache. Следует учесть, что если ПО распространяется под открытой лицензией, это не значит, что можно просто внедрить его в проект и забыть. В каждой лицензии прописаны четкие условия распространения продукта и ограничения, накладываемые разработчиком. Нарушение этих условий, пусть и неумышленное, грозит судебным разбирательством. Кроме того, разработчики иногда вносят изменения в лицензионное соглашение (примером могут послужить MongoDB, Redis и Oracle), что тоже необходимо отслеживать во избежание крупных штрафов.

Риск №2 Намеренная порча опенсорсных пакетов

Крупные открытые проекты используют сотни и тысячи зависимостей, которые постоянно обновляются, и отследить наличие вредоносного кода крайне сложно. Внедрение вредоносного кода в открытый пакет может быть как делом рук хакеров, так и самих разработчиков решения. Последнее полностью противоречит философии открытого ПО, но, к сожалению, подобные случаи встречаются на практике. Самый громкий инцидент — дело Марака Сквайрса, который намеренно испортил пакеты color.js faker.js, что привело к сбою в работе тысяч программ. Более того, в 2022 году были случаи внесения вредоносных модулей (например, node-ipc и peacenotwar) в открытые пакеты ПО, направленных на порчу файлов пользователей с IP-адресами из России и Беларуси. Опенсорсное сообщество резко осудило такие действия, но ущерб уже был нанесен тысячам пользователей.

Риск №3 Несвоевременные обновления

ПО с открытым исходным кодом разрабатывается и поддерживается на добровольных началах. Как правило, члены сообщества Open Source принимают активное участие в развитии открытых проектов, устраняют баги и уязвимости и внедряют обновления. Но существует риск того, что разработчик открытого пакета перестанет им заниматься, и ПО останется без обновлений и будет обрастать уязвимостями. Иногда разработчик может удалить библиотеку, что приведет к нарушению работы использующих ее приложений.

Более того, разработчики ПО не несут ответственности за своевременное обновление библиотек, а это чревато возникновением брешей в системе безопасности ИТ-инфраструктуры.

Еще один риск: при обнаружении проблемы в коде библиотеки или другого ПО необходимо оставить запрос на форуме и ждать ответа. Иногда ожидание может занять несколько дней, что недопустимо для приложений, простой в работе которых может повлиять на миллионы пользователей.

Риск №4 Несоблюдение требований цифрового суверенитета

Указ Президента РФ от 30.03.2022 № 166 “О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры (КИИ) РФ” запрещает использование иностранного ПО при разработке объектов КИИ, используемых в государственных учреждениях, банках и на других системообразующих предприятиях. Отследить происхождение тысяч открытых пакетов не так-то просто, но без этого невозможно соблюсти требования информационной безопасности и цифрового суверенитета.

Как видите, переводить прод на непроверенный опенсорс — все равно что пытаться переплыть море на самостоятельно сооруженном плоту. Теоретически это возможно, но готовы ли вы на практике подвергнуть ваши приложения такому риску? Да и к тому же когда речь идет о государственных компаниях и КИИ, для выхода в море нужен билет: подтвержденное отечественное происхождение ПО.

Что предлагает Axiom JDK

Мы убедились, что открытое море Open Source таит в своих глубинах непредвиденные опасности, с которыми сложно справиться в одиночку. Но отказываться от возможностей ПО с открытым исходным кодом не стоит: открытые проекты стимулируют инновации и быструю эволюцию технологий, а также помогают снизить стоимость разработки.

Российским компаниям нужен «корабль», построенный с соблюдением всех мер безопасности, с надежной командой, оснащенный современными технологиями отечественного происхождения.

Продукты линейки Axiom JDK — это тоже Open Source, но они обладают рядом преимуществ, которых нет ни у одного западного вендора.

Полный стек Java-технологий взамен ушедшим

Axiom JDK Pro — дистрибутив OpenJDK, соответствующий стандарту Java SE, поэтому миграция с Oracle Java или других дистрибутивов потребует изменения всего лишь пары строк кода.

Помимо среды исполнения, чаще всего для разработки корпоративных приложений на Java используется технологический стек на базе стандартов и спецификаций Java EE/Jakarta EE. Наиболее популярными реализациями данных спецификаций являются продукты Oracle, IBM и Red Hat: WebLogic, WebSphere и JBoss/Wildfly, однако с уходом этих вендоров данные технологии стали недоступны российским компаниям.

К счастью, Axiom JDK разрабатывает и поддерживает Libercat — стандартизированный сервер приложений, реализующий спецификации Java EE/Jakarta EE. Доступны две версии: Libercat, основанный на опенсорсном сервере Tomcat, и Libercat EE на базе Tomcat EE, поддерживающий расширенный набор спецификаций. Libercat является заменой WebLogic, WebSphere и JBoss/Wildfly. В связке со средой исполнения Java Axiom JDK Pro Libercat становится сертифицированным end-to-end решением для enterprise-приложений.

Доверенное отечественное ПО

Libercat и Axiom JDK Pro — единственные Java-технологии, включенные в реестр российского ПО, что делает их 100% российскими продуктами со строгим контролем качества и безопасности. Кроме того, продукт Axiom JDK Certified прошел сертификацию ФСТЭК по 4 уровню доверия для использования на значимых объектах КИИ и в государственных информационных системах с повышенными требованиями к ИБ.

При этом инженеры команды Axiom JDK понимают, как важно использовать потенциал Open Source без ущерба для безопасности. Поэтому на данный момент ведется работа над доверенным репозиторием Java библиотек, который позволит полностью обезопасить российские компании от вредоносного кода в открытых пакетах. Инженеры Axiom JDK уже верифицировали 4 Гб кода и принимают заявки на включение в репозиторий библиотек, наиболее востребованных отечественной ИТ-индустрией.

Уникальный функционал

Помимо сертификации Минцифры семейство продуктов обладает рядом характеристик, которыми не могут похвастаться западные вендоры:

  • Продукты Axiom JDK совместимы с отечественным ОС и СУБД, аппаратным обеспечением, приложениями и облаками;
  • Axiom JDK поддерживает все текущие LTS-версии (8, 11, 17), последнюю версию, а также легаси Java 6 и 7;
  • Новые версии Axiom JDK Pro, выпущенные в январе 2023, включают готовые конфигурации TLS-сертификатов, выпущенных Минцифры взамен зарубежных сертификатов безопасности, переставших работать с российскими сайтами. Java приложения на Axiom JDK Pro автоматически устанавливают безопасное соединение по протоколу TLS с проверкой подлинности серверов.

Но продукты команды Axiom JDK не ограничиваются средой исполнения и сервером приложений! Инженеры разработали дополнительные инструменты, призванные облегчить контроль за Java инфраструктурой, ускорить запуск Java приложений и свести к минимуму потребление облачных ресурсов:

  • Axiom Runtime Container Pro — решение для создания микроконтейнеров с Java приложениями, которые весят около 40 Мб. В его основе лежит базовый образ с легковесным Linux и версией Axiom JDK Pro Lite, оптимизированной для облака;
  • Axiom AC — утилита для инвентаризации и обновления корпоративного парка Java рантаймов из одного окна. Она позволяет контролировать лицензии и автоматизировать обновление JDK, тем самым поддерживая безопасность на максимальном уровне;
  • Axiom NIK — инструмент для преобразования Java приложений в нативные образы со скоростью запуска 1/10 с.

Российская техподдержка 24/7

Поддержка продуктов семейства Axiom JDK осуществляется на русском языке. Клиенты напрямую, без посредников общаются с инженерами команды Axiom JDK, за плечами которых более 25 лет опыта развития Java и внесение вклада в OpenJDK, и получают оперативное решение проблем на основе SLA. В дополнение к ежеквартальным обновлениям безопасности CPU и PSU, клиенты получают экстренные патчи, еще не вошедшие в код OpenJDK, и внеплановые фиксы.

Axiom JDK — флагман отечественных Java-технологий

Java была и остается одним из самых популярных языков программирования в России, и уход западных вендоров не повлияет на ситуацию кардинально. Индивидуальные разработчики могут положиться на Open Source сообщество и продолжать работать с открытым ПО по принципу «доверяй, но проверяй», т.е. самостоятельно следить за безопасностью используемых зависимостей и качать пакеты из проверенных источников.

Крупные и государственные предприятия не могут позволить себе с головой нырнуть в непроверенный Open Source. Для них на данный момент существует только одно решение — отечественные продукты линейки Axiom JDK. И многие лидеры российского рынка уже перешли на Axiom JDK Pro, поэтому среда исполнения зарекомендовала себя в условиях высочайших нагрузок!

Убедитесь в том, что миграция на Axiom JDK Pro — не вынужденная необходимость, а конкурентное преимущество. Закажите демо-версию прямо сейчас!

Author image

Олег Чирухин

Директор по коммуникациям с разработчиками (DevRel)

Axiom JDK info@axiomjdk.ru Axiom JDK logo Axiom Committed to Freedom 199 Obvodnogo Kanala Emb. 190020 St. Petersburg RU +7 812-336-35-67 Axiom JDK 199 Obvodnogo Kanala Emb. 190020 St. Petersburg RU +7 812-336-35-67