VPN-ограничения ломают привычную жизнь российских разработчиков и бьют по open source

Российские программисты массово жалуются на сбои при работе с зарубежными репозиториями, библиотеками и облачными средами разработки из-за ограничений VPN-трафика. Под удар попала инфраструктура open source, без которой современная разработка фактически невозможна. Для команд это уже не разовые неудобства, а фактор, замедляющий выпуск продуктов.

Сложности затрагивают почти весь цикл создания софта. Чувствительнее всего пострадали процессы, завязанные на международные площадки, где живут библиотеки, фреймворки и инструменты совместной работы. Тысячи программистов годами выстраивали рабочие процессы вокруг этих сервисов, и стабильный доступ к ним был базовым условием существования индустрии.

Под удар попали сразу несколько слоёв инфраструктуры разработки, говорит руководитель отдела администрирования и DevOps ГК Softline Александр Дёмин в разговоре с «Коммерсантом». По сути, проблема охватывает почти все привычные инструменты программистов:

• репозитории исходного кода и системы хранения проектов;
• системы управления версиями и ветками;
• менеджеры зависимостей и пакетные библиотеки;
• среды разработки, подтягивающие данные из внешних облаков;
• инструменты автоматической сборки и тестирования.

Парадокс в том, что современная разработка построена на открытом коде. По оценкам участников рынка, в продуктах молодых отечественных вендоров доля open source-компонентов доходит до 50–90%. Компании используют десятки и сотни внешних библиотек, которые регулярно обновляются, получают патчи и закрывают уязвимости. Когда доступ к этим источникам начинает мерцать, проблемы лавинообразно расходятся по всей цепочке сборки.

Отмечается, что нестабильный доступ к репозиториям превращает обычное обновление зависимостей в задачу, требующую отдельной подготовки и ручных проверок.

IT-директор ГК «КОРУС Консалтинг» Максим Копов говорит о двойственной природе проблемы. С одной стороны, появляются внутренние барьеры при выходе наружу. С другой — часть зарубежных сервисов сама закрывает доступ российским пользователям и организациям. Разработчикам приходится пересобирать продукты, искать обходные пути и переписывать процессы обновления. Раньше на это уходили минуты, теперь нередко часы.

Системный характер сбоев стал заметен в феврале и марте, рассказывает ведущий специалист отдела исследовательских разработок компании «Стахановец» Алексей Миронов. Период совпал с несколькими волнами блокировок популярных VPN-сервисов. Корпоративные туннели, на которые раньше полагались крупные команды, начали вести себя так же непредсказуемо, как обычные пользовательские подключения.

Жалобы программистов теперь касаются не только полной недоступности отдельных ресурсов. Гораздо чаще речь идёт о деградации повседневных рабочих процессов:

• соединения с репозиториями обрываются в произвольные моменты;
• скорость загрузки крупных пакетов и образов резко падает;
• синхронизация веток между площадками сопровождается ошибками;
• автоматическая сборка ломается из-за тайм-аутов при подтягивании зависимостей.

Со стороны такие проблемы выглядят мелочью. Но в разработке любая микрозадержка масштабируется. Команда из 30–40 инженеров, ежедневно теряющая по 20–30 минут на ожидание компонентов и повторные подключения, к концу месяца превращает эти минуты в десятки потерянных человеко-дней. Для проектов с непрерывной интеграцией ситуация ещё острее, потому что продукты состоят из тысяч компонентов, подтягиваемых из внешних источников при каждой сборке.

Представители отрасли напоминают, что разработчики живут в условиях внешних ограничений уже несколько лет. Часть зарубежных площадок начала закрывать доступ пользователям из России ещё раньше, и команды постепенно адаптировались. Теперь к старым барьерам добавились новые, связанные уже с регулированием внутри страны.

Председатель совета директоров «Базальт СПО» Алексей Смирнов считает, что ограничения стандартных протоколов защищённого доступа создают проблемы добросовестным пользователям сети. По его словам, отрасль давно научилась обходить внешние барьеры, но теперь разработчики упираются в дополнительные препятствия при работе с профессиональными ресурсами, без которых их работа теряет смысл.

Стоит обратить внимание, что рынок open source продолжает расти даже при нарастающих сложностях с доступом — компании просто не готовы отказываться от ускорения, которое даёт открытый код.

Тем не менее чем глубже бизнес встроен в глобальную экосистему разработки, тем болезненнее любые сбои в её инфраструктуре. Репозитории, библиотеки, системы контроля версий и облачные сервисы давно стали такой же частью рабочего места программиста, как клавиатура и редактор кода. Перебои в этой цепочке программисты ощущают физически, а не статистически.

Ранее обсуждение дополнительной платы за международный мобильный трафик, который часть участников рынка связывает с использованием VPN-сервисов, было перенесено на более поздний срок. Первоначально запуск новых механизмов ждали летом, затем сроки сдвинулись ближе к осени. Пока регулятор и операторы спорят о тарифах и протоколах, разработчики обсуждают вещи приземлённее:

• сколько времени теперь занимает обычная сборка продукта;
• какие зеркала и прокси использовать для устойчивого доступа к зависимостям;
• как переносить часть инфраструктуры внутрь периметра, не теряя в скорости;
• какие компоненты придётся форкать и поддерживать самостоятельно.

Для индустрии вопрос давно перерос рамки доступа к отдельным сайтам. Программирование зависит от глобальной сети репозиториев и сервисов совместной работы. Чем сильнее эта зависимость, тем чувствительнее любые перебои в каналах между российскими командами и инфраструктурой, разбросанной по всему миру.

Эксперты редакции CISOCLUB уверены, что нынешняя ситуация с VPN-ограничениями превратилась в фактор, который реально влияет на конкурентоспособность отечественной разработки. Открытый код был и остаётся фундаментом мировой индустрии софта, и попытки закрыть доступ к нему административными методами бьют в первую очередь по собственным разработчикам. Бизнесу придётся вкладываться в зеркала, локальные репозитории и инфраструктуру кэширования, а это дополнительные расходы, которые в итоге лягут на цену продуктов. Разработчики при этом продолжат искать обходные пути, потому что без глобальных ресурсов современная разработка просто не работает.

Чем дольше затягивается неопределённость с регулированием VPN, тем выше риск, что часть команд начнёт переносить процессы в юрисдикции с более предсказуемой цифровой инфраструктурой. Решать вопрос придётся, и желательно с участием самой отрасли, а не вопреки ей.