Comments 32
С 2023 года его практически невозможно использовать в российских компаниях с сохранением лицензионной чистоты.
Вы можете использовать у себя Волт как хотите - главное, не предоставляйте коммерческие сервисы на его основе (что-то типа "managed Vault"). Не выглядит как релевантное для многих ограничение.
Hosting or using the Licensed Work(s) for internal purposes within an organization is not considered a competitive offering.
Всё это вопрос трактовки условий лицензии под которой сейчас распространяются новые версии Vault.
Если опираться на формулировки самой BSL, то они говорят нам о следующем:
The Licensor hereby grants you the right to copy, modify, create derivative works, redistribute, and make non-production use of the Licensed Work. The Licensor may make an Additional Use Grant, above, permitting limited production use.
Ключевой момент на который нам стоит обратить особое внимание: "non-production use of the Licensed Work" — использование в непроизводственных целях.
К примеру, является ли использование Vault в production-среде крупной нефтегазовой компании нарушением условий BSL лицензии?
На наш взгляд — да, является.
Понятно, что компания не зарабатывает деньги напрямую на Vault или какой-либо модификации, но использует его в своей production-среде с конечной целью извлечения прибыли через продажу нефти, газа и прочего сырья.
Почти любая production-среда компании существует с целью извлечения прибыли. Соответственно, условие «non-production use» не выполняется.
(если, конечно, не получена отдельная лицензия / разрешение от вендора на использование в производственных целях)
Я прекрасно понимаю, что многие могут не согласиться с такой трактовкой, но отмечу, что ряд ведущих российских компаний с развитым комплаенс разделяют озвученное мнение.
К примеру, является ли использование Vault в production-среде крупной нефтегазовой компании нарушением условий BSL лицензии?
На наш взгляд — да, является.
Для нефтегазовой компании источник дохода - извлечение из земли и продажа углеводородов, а Волт если и используется - то в инфраструктурных целях, что подходит под "internal purposes within an organization".
Я вовсе не против православных форков, я против натягиваний сов на глобусы, когда стремление получить денег на волне импортозамещения прикрывают "плохими разработчиками, испортившими лицензию".
В лицензии Vault дополнительно к самой BSL, есть Additional Use Grant, то есть дополнительные по сравнению с BSL правомочия. В этом разделе прямо сказано, что можно использовать Vault в продакшене, если не берешь денег с третьих лиц, то есть не конкурируешь с платной лицензией HashiCorp.
You may make production use of the Licensed Work, provided
Your use does not include offering the Licensed Work to third
parties on a hosted or embedded basis in order to compete with
HashiCorp's paid version(s) of the Licensed Work.
Вот тут HashiCorp пишет, что изменениями будут затронуты только конкурирующие с ними организации.
Тут с одного чата попросили вам скинуть ссылку:
https://www.tadviser.ru/index.php/Продукт:AT_Consulting:_ЦУП_2.0_Модуль_управления_секретами
Пока видно только фиксацию состояния "до смены лицензии" и дальнейшую эксплуатацию имеющихся наработок. При этом поддержка российских ОС - наверно неплохо, но как-то маловато. Что дальше-то делать будете с этим? Куда двигаться и какими силами? Добавлять поддержку российских криптопримитивов? Пилить еще один форк бэкэнда на замену Consul? Перепишите Terraform (OpenTofu) провайдер для своего форка? Предложите свое облако взамен HCP? Что в перспективе? Или это временное решение в ожидании релизов OpenBao?
Отлично! Ну теперь пойдут продажи.
Сарказм.
Очередной OpenSource превращенный чудесным образом в новый Отечественный продукт.
А, забыл, UI переписали, только вот вопрос, насколько это актуально. Обычно API используют, UI никогда не был в приоритете.
У нас и роботы и люди его используют, так что в UI очень не хватает поиска например.
На самом деле не совсем так. Многие команды, даже в очень крупных компаниях РФ активно используют UI в своей повседневной работе. При этом работу через API никто конечно не отменял.
Важно понимать, что помимо переписанного UI, добавлена поддержка российских ОС, реализована адекватная работа продукта и обновления в закрытых контурах, плюс - мы полностью закрываем слой технической поддержки всех компонентов продукта.
Для многих компаний это действительно важно.
Ну понятно, что текущий функционал не заточен на не ИТ-пользователей, что плохо, английский язык, нет всяких политик генерации паролей, что можно было бы навязывать пользователям. Но часть наших ИТ-пользователей пользуются, это лучше чем хранить пароли у себя на ПК пусть и в KeePass.
Искать open source-аналоги в community. Это прекрасный вариант, за исключением одного большого НО. Этих аналогов нет. Мы проанализировали все существующие решения такого класса и с уверенностью заявляем: альтернативы Vault с точки зрения функциональности, удобства использования и архитектурной привлекательности в природе не существует.
Существует https://github.com/openbao/openbao - форк Vault с открытой лицензией, исходниками и понятным прайсом (бесплатно). А что есть у вас, кроме уверенных заявлений, - непонятно.
В этой цитате под альтернативой подразумевалась именно полная замена Vault как материнского продукта.
Понятно, что есть какое-то количество форков от HashiCorp – opensource и коммерческих, включая и наш, но кто даёт гарантии, что эти форки будут успешными, будут развиваться и полноценно поддерживаться?
Важно понимать, что мы, продавая свой продукт, такие гарантии даём и позволяем клиентам почувствовать безопасность и стабильность в этой части, которая сейчас так сильно всем нужна 🙂
Благо большая компетенция и все ресурсы для этого у нас есть.
такие гарантии даём
Так какие ваши гарантии?
Юридические.
На уровне договора, в рамках проданного пакета услуг технической поддержки и обновлений. ТП продается в двух вариантах - с SLA 9/5 и 24/7. На срок от 1 до 5-ти лет.
В рамках этого срока (это как минимум), любой клиент может быть уверен, что получит работающий и безопасный софт с нашей ТП и регулярными обновлениями.
Ребята, привет! Пара моментов по статье:
Это точно не первая отечественная замена Vault в РФ. Например, 24 апреля наш Deckhouse Stronghold уже был внесен в реестр отечественного ПО. Обычно всё же в реестр такое ПО вносят максимально оперативно — но у вас еще этап заявки. Плюс, мог что-то сделать еще кто-то из игроков, но пока не рассказывает об этом публично.
У индустрии есть потенциальная Open Source-замена Vault (это уже отметили выше) — проект OpenBao, то есть форк еще опенсорсного Vault, поддержанный Linux Foundation, который будут разрабатывать по примеру OpenTofu (опенсорсный аналог Terraform) под MPL 2.0. Linux Foundation, конечно, не стопроцентная гарантия того, что форк точно будет успешным, но очень серьезная заявка на успех. Особенно учитывая, что за OpenBao стоят серьезные игроки из индустрии.
Привет, коллега! 🙂
1. Тут к сожалению не нашли более менее подробной информации о Stronghold как об отдельном продукте и о тех задачах, которые он будет закрывать. Не смогли для себя ответить насколько это полноценная замена Vault.
Уверен, что всем будет интересно узнать о продукте подробнее, поэтому расскажите!
2. Всё верно говоришь, как раз выше ответил про те самые гарантии вокруг которых всё на самом деле строится.
привет! описано, более-менее подробно, вот тут - https://deckhouse.ru/products/stronghold/ и тут - https://deckhouse.ru/modules/stronghold/stable/.
OpenBao появился с подачи IBM, которые недавно купили весь HashiCorp. Им уже принадлежит RedHat. А RedHat владеет, кроме всего прочего, Ansible, Podman и OpenShift. Получается, что в руках IBM теперь сосредоточена львиная доля инструментария для IaC.
Интересно как будет развиваться ситуация дальше. По некоторым прогнозам, IBM могут вынудить Hashi откатить BSL обратно.
Согласен, очень любопытно, что же будет в итоге!
Будем с интересом продолжать наблюдение за происходящим. Даже если прогнозы оправдаются, наши планы не изменятся - мы делаем продукт, в том числе и для закрытых контуров с мультитенантностью "из коробки" и с соблюдением локальных регуляций. Даже откат лицензии с BSL не повлечёт появления этого функционала в опенсорсной версии.
Тут можем тоже немного показать аналог HashiCorp’а, но как модуль PAM.
https://ngrsoftlab.ru/infrascope
Мы его как раз на замену Vault писали и продолжаем развивать. И уже есть сертификат ФСТЭК) так что велком…
Но есть один минус, вам ещё и привилегированных контролировать будет можно 😂
Всегда "улыбал" подход, когда даже просто Руководство пользователя можно получить только по запросу. Врядли такие продукты будут интересны "сами по себе", только как доп.сервис для уже имеющихся пользователей. Мне кажется в подходе IBM (с приобретением HashiCorp) скорее проглядывается стремление привлечь большую массу сторонних пользователей (клиентов приобретаемой компании) к своим сервисам. Ибо откусить кусок от "большой тройки" им очень сложно, но вот присоседиться к ним - в самый раз.
А зачем предлагать руководство в открытом доступе?
У нас сложное решение, там очень большой объём документации, не каждый заказчик осиливает прочтение её от «корки до корки».
По крайней мере отсутствие доки ещё ни разу не мешало продавать 😉
Ну, не знаю... Например - для ознакомления с продуктом. Может и не каждый, но осилят достаточно многие, об этом не беспокойтесь. Тем более, что не всем нужно "жевать именно корки", достаточно понимания основного функционала. А про продажи... Я не говорю за продажи продукта "вообще", я говорю за продажи бОльшему числу клиентов. На мой субъективный взгляд - дополнительный барьер для доступа к информации о продукте, снижает шансы на его широкое распространении.
Мы не позиционируем себя как vault - массовый продукт за lowprice. Но если решим вынести функционал vault за рамки Инфраскопа, то обязательно рассмотрим размещение доки на сайте для сокращения барьеров к изучению решения.
А если мы говорим про PAM, частю которого сейчас является vault, то у нас дорогой продукт, рынок низкоконкурентен, а наличие расширенной доки, продать бОльшему количеству клиентов не поможет, уж поверьте)))
Если вы действительно выбираете для своей организации решение класса PAM и вам очень интересно почитать наши руководства - написать запрос не проблема. А если это барьер, то скорее всего вы не выбираете, а имитируете.
Было бы круто после такой речи выпускать опенсорс форк а не зарабатывать деньги на этом (
Подход IBM к приобретению HashiCorp скорее направлен на привлечение новых пользователей к своим сервисам, чем на продажу самого продукта. Это стратегия привлечения большей аудитории к их платформе, поскольку откусить кусок от рынка у "большой тройки" сложно, но можно привлечь пользователей через усовершенствованные сервисы.
Корпоративное хранилище секретов StarVault — первая в России полноценная альтернатива HashiCorp Vault