Comments 23
За любой вклад в опенсорс, безусловно, респект.
Но удивило описание проблем с установкой, глянул на сайт проекта - и правда единственная опция - скачать тарболл и дальше ручками. По-моему, уже несколько лет как подобный софт вместе с БД и всеми зависимостями принято по умолчанию разворачивать одной командой 'docker compose up -d', а кому надо без докера - те уже пусть сами лезут в детали, они наверняка разбираются.
Ну и зачем Вам российский гитхаб и особенно российская лицензия при пользователях с пяти континентов и отсутствии привязки проекта к каким-то чисто российским реалиям - остаётся загадкой.
Всё верно, установить можно только из tarball. Спасибо за предложение! Для нас это пройденная история. Коллега из сообщества даже попробовал это сделать:
https://gitlab.com/dimonleonov/screensquid-compose
Но проект - ушел в архив. Коллега устал на техподдержке. Красной линией в статье проходит мысль, что мы имеем дело (все 15 лет) чаще с "сисадмином обыкновенным" и докер им чужд. Я ставлю себе цель - попробовать снова через 5 лет.
Я попробую дать разгадку. Дело в том, что я живу честно. Настолько, что у меня ютуб не работает. И я хочу, чтобы конечные пользователи в РФ не прятали Screen Squid по углам от каких-нибудь специалистов по безопасности. В то же время - я не могу зайти в реестр отечественного ПО - на это нужны бумажки и деньги (по сути тоже бумажки) на различные экспертизы. По крайней мере, когда интересовался этим вопросом - было невозможно.
Мы знаем, что идёт импортозамещение. И если бы у нас был Реестр отечественного программного обеспечения с открытым кодом (РОПОсОК - над аббревиатурой надо ещё подумать), с отечественными лицензиями - то и ООО, и АО и различные учреждения могли бы брать ПО оттуда в случае если купить отечественное пока не могут. ФСТЭК бы помог - выдал рекомендации всем опенсорсникам.
А сейчас что соурсфордж, что гитхаб - всегда может закрыться. Как красная тряпка для ИБ.
Про docker странно слышать. Как раз скорее для не очень квалифицированного пользователя, который, как Вы сами пишете, в правах доступа к БД разобраться не может, это должно быть спасением. И для такого пользователя точно лучше и безопаснее докер, чем то, что он со своими скромными знаниями накрутит в системе вручную. Много софта сейчас вообще не поддерживают никаких других официальных вариантов установки (осуждаю как другую крайность, но факт).
Про российские лицензии - ну Вы же понимаете, что упростив жизнь российским гос- и окологосконторам (а остальным российским пользователям и с общепринятыми оперсорсными лицензиями всё ОК), Вы усложните её всему остальному миру. Даже если российская лицензия окажется совместимой с иностранным правом и реалиями работы зарубежных пользователей (во что лично я не верю, понимая, что за люди и с какими вводными её будут писать), даже если у неё будут более или менее официальные переводы на другие языки, - при всём при этом зарубежный пользователь, придя к своим юристам с вопросом "а не будет ли у нас проблем, если это поставить у себя?", в случае с GPL/MIT/Apache/CC и пр. получит быстрый ответ "конечно, это нам знакомо, всё ОК", а в случае с новой и непонятной лицензией из далёкой и страшной России, скорее всего, получит ответ "да ну его, что-то непонятное, не рискуем".
Я хочу сделать Вам предложение! Вы вероятно не первый день в ай-ти, можете создать докер для Screen Squid и годик его поддерживать? Я поставлю на Вас ссылки и всячески отрекламирую. Хотите ли Вы сделать вклад в опенсорс? Это могло быть бы интересным опытом который мы могли рассказать в следующем материале.
Минуту, я не планирую уходить с соурсфорджа, для остального мира ничего не изменится. Там будет тот же GPL. Я хочу прийти в отечественный сегмент. Я переживаю, что коллегам приходится иногда оправдываться за софт который стоит у них. Не только Screen Squid. Он у них установлен потому что удобно. Коллегам я всегда говорю - если придут с ИБ - смело говорите, что это вы написали скрипты для отображения статистики. Самописное-то не так страшно.
Я не думаю упростить жизнь российским гос- или около гос-. Я думаю о специалистах внутри компании, какой бы квалификации они ни были.
По первому вопросу - создать, вероятно, могу, но совершенно точно не буду. Я и Squid-то не использую, а если потребуется такой функционал, подниму вместо него NGFW :)
По второму вопросу Вы исходите из смелого предположения, что гипотетическая будущая российская лицензия будет совместима с двойным лицензированием того же кода под GPL, что крайне маловероятно. Как минимум потому, что коммиты иностранных пользователей, которые они делают на условиях GPL, нельзя распространять под несовместимой с GPL лицензией (будет ли так же в обратную сторону, пока можно только гадать, но я уверен, что будет).
NGFW для других целей предназначен абсолютно.
В существенной степени пересекающихся, если мы хотим просто анализировать трафик (с расшифровкой или без), выборочно блокировать/шейпить, экспортировать данные в SIEM-системы и т.п. Хотя конечно, у каждого инструмента и свои уникальные применения есть. Для Squid сразу приходит в голову кэширование, но оно нынче актуально разве что в каких-то отдалённых локациях, да и то повсеместный SSL сводит выигрыш на нет.
Области применения частично пересекаются, особенно если речь о фильтрации и анализе, но это с натяжкой. Ставить Squid и NGFW на один уровень - это как сравнивать отвертку и мультитул. Squid - специализированный инструмент под HTTP/HTTPS-прокси с тонкой настройкой кэширования, ACL, аутентификацией и возможностью гибко управлять web-трафиком. NGFW - это безопасность: DPI, сигнатуры, IPS/IDS, контроль приложений и т.п. (и это совершенно другой уровень). И насчёт кэша - SSL, конечно, усложняет жизнь, но не делает кэширование бесполезным. У Squid есть SSL-bump, SNI-фильтрация, это просто нужно правильно настроить, и всё будет кешироваться (за исключением некоторых ресурсов, которые придётся пустить мимо Bump), валидироваться
Очень жаль! Мне показалось, что Вы так просто рассказываете про докер, что это пятиминутное дело. Тогда мы вернемся к изначальному плану через 5 лет, в надежде, что он будет доступен к пониманию целевой аудитории.
Я исхожу из мечты. В текущих релизах у нас нет коммитов иностранных пользователей. Да и коммитов отечественных. Мне хочется верить, что когда вопросом лицензирования займутся компетентные люди, для них не будет неразрешимых вопросов. Только представьте - отечественный опенсорс. Нужно только, чтобы кто-то сделал первый шаг.
Дело не пятиминутное, конечно, но я искренне удивился, что поддерживать докер оказалось сложнее, чем тратить время на объяснение пользователям нюансов ручной установки (про что Вы сами написали в статье).
Ну а по второму вопросу - без сторонних коммитов Вам, конечно, легче. Но поверьте, если под "компетентными людьми" Вы понимаете кого-то со стороны государства... абсолютно всё, чем начинает заниматься государство (не только российское), делается максимально бездарным и даже вредоносным образом :) Так что, боюсь, Вы получите в вожделенной российской лицензии какую-нибудь антисанкционную оговорку, которая Вас безальтернативно заставит выбирать между российским и мировым рынком. И это будет не баг системы, а фича.
Дело не пятиминутное, конечно, но я искренне удивился, что поддерживать докер оказалось сложнее, чем тратить время на объяснение пользователям нюансов ручной установки (про что Вы сами написали в статье).
Да тут даже дело не в том, что это сложнее. Дело в том, что ScreenSquid ставится на тот же сервер, где работает Squid. Там явно не место докеру. Можно поставить и отдельно, но тогда нужно позаботиться о синхронизации лога, брать его удалённо, возможно с центрального сервера логирования, это уже подразумевает то, что у администратора должны быть какие-никакие навыки. Установка ScreenSquid довольно проста для человека, который имеет опыт с администрированием Linux. А если этого опыта нет, то и (наверное) делать ему на этом сервере вообще нечего, какой уж там докер. Лучше повысить свою квалификацию, а не ужасаться парочке простейших команд из инструкции по установке
Понятные соображения. Хотя я в любом случае не ставил бы чисто админский софт на боевой прокси-сервер (тем более он же может быть не единственным). Логи или централизованно собирать, да (от rsyslog до Loki), или тупо по NFS папку с ними шарить (тоже так себе решение)...
В любом случае, с доводом о том, что настолько неопытному админу вручать прокси не стóит, полностью согласен :)
Да, так мы и пишем в статье. За этим лежит опыт и наш, и наших коллег. Было даже предложение - сделать Makefile. Что мы и сделали. Но никто не пользовался. Остался один вариант - инструкция, которую мы написали весьма подробно.
Скорее всего это выходит за рамки статьи. Однако, я всегда привожу в пример Госуслуги. Мне хочется верить, что этим занялось государство и я, как и многие сограждане видим результат этой работы. Это один из кирпичиков моей веры, что необходимо и достаточно, чтобы вопросом занялись компетентные специалисты. Как я писал в статье - у меня есть мечта.
подобный софт вместе с БД и всеми зависимостями принято по умолчанию разворачивать одной командой 'docker compose up -d'
Подобный подход приемлем к тестовой среде. Не тащите свои докеры в ПРОДуктив, это плохо пахнет. Вы ещё Squid в докер поставьте
А по поводу ScreenSquid: шикарный анализатор. Внедрял его в нескольких конторах, они до сих пор используются. Правда, не обновляются (судя по всему, работает - не трогают). Даже на момент этого внедрения он уже давал больше, чем аналоги, и намного проще. Сейчас вообще не вижу адекватной альтернативы, особенно с учётом того, как SS вырос.
И да, за проект донатил, чего и остальным советую =) ScreenSquid явно стоит того
Вместо гитхаба можно гитфлик, гитверсе, мосхаб
Подскажите, можете что-то из этого порекомендовать? Может чем-то пользовались. Когда мы только начинали для себя мы выбрали соурсфордж. И первую систему контроля версий использовали SVN. Соурсфордж показался более интуитивным. А вот на гитхаб мы просто зеркалим изменения. Хотя и там, и там - git.
Наверное надо что-то из ру зоны тоже выбрать. Нам интересно услышать Ваше мнение.
В соурсфордже плохо, что мы не поняли как там создавать приватные репозитории. Возможно, это платная история. И для приватных - есть кастомизированные версии Screen Squid которые ведутся для конкретных "заказчиков", мы для себя открыли gitea. Скорее даже не открыли, а доросли, что приватные нужны, а платить пока не с чего.
GitFlic мне нравится больше других. Такое впечатление, что народ взял GitLab и стал его развивать, полностью переведя на русский. Я с ними еще в 2019 году законтачил.
Сейчас стало уже хорошо по сравнению с теми временами. В телеге есть канал, где можно пообщаться
GitVerse - это от сбера. Чего-то у меня постоянные проблемы со входом... :)
mos.hub - это Москва и окрестности. Но в той окрестности работают мои выпускники и всегда есть, где спросить, если что не так. И опять же в телеге есть канал, где я могу прям к главному админу обратиться.
Еще есть tviygit.ru - там тоже репа была у меня.
И до всех этих руссифицированных все сидели на Gitea - это китайская. Тоже вполне нормальная.
Привет, это команда GitVerse! Рады видеть тебя в числе участников сезона open source! Ставим лайк твоей статье :)
У меня есть мечта. Я мечтаю, что у нас в стране появится хотя бы какой‑нибудь отечественный аналог гитхаба или соурсфорджа (без регистрации в ЕСИА) с отечественными лицензиями на опенсорс. Может не первым, но одним из первых я встану под такие лицензии и буду продолжать писать код.
Их есть. Я даже немного присматривался к ним, но остался на гитхабе? Почему? Потому, что опенсорс - дело международное. Очень многие вопросы решаются по переписке. Корреспонденты разбросаны по всему миру. Например, мой sane-airscan перенёс на *BSD товарищ с Азорских островов. Я ему только помогал немного. У меня даже живой инсталляции FreeBSD под рукой не было. Люди все из разных стран, общий язык - английский. Ну и как я условному бразильцу дам ссылку на российский гитхаб, если там все страницы по умолчанию - на русском?
И второй вопрос, количество ресурсов, которые бесплатно выделяются авторам свободных проектов. Гитхаб выделяет достаточно, чтобы можно было развернуть, например, проект размером с Google Chrome. Никто из отечественных столько не выделяет.
И третья вещь, непонятно, как все эти российские гитхабы интегрируются со всякими там внешними полезняшками, типа code coverage и т.п.
Так что пока, увы...
Для меня это стоит заметно выше написания самого кода. Для меня очень важно было написать так, что установить Screen Squid сможет каждый.
А не думали наделать пакетов для основных хотя бы дистрибутивов Linux?
Я для этих целей использую openSUSE Build Service. Он умеет строить пакеты не только для openSUSE, но и для кучи других дистрибутивов (нам бы такой сервис, да еще и с нормальным интерфейсом, в OBS всё же трудно разобраться).
Сейчас мне это уже не очень актуально, мои пакеты (sane-airscan и ipp-usb) входят в большинство дистров, но когда-то это было основным каналом распространения.
Цели и задачи, ради которых необходима отечественная площадка опенсорса (слово, наверное, неправильное, правильное - открытый исходный код, но уже больно длинное), это возможность использования на территории РФ без страха быть уличенным, что в контуре используется иностранное ПО. В комментарии выше, я разъяснял, но сейчас снова встречаю схожую позицию у Вас - если разместится на отечественной площадке, то с остальных площадок надо уходить и как же коллегам из Бразилии скачать наш продукт.
Послушайте, я ведь размещен и на гитхабе и на соурсфордже, что помешает мне разместится на ещё одной площадке если я автор? А вот коллегам это сильно упростит жизнь. Мой призыв к созданию отечественного сервиса с отечественными лицензиями это попытка жить честно. У коллег из других стран также есть проблемы ведь. К нам приходил коллега с Кубы и говорил - не могу оставить вам отзыв, потому что соурсфордж не доступен из нашей страны. Точнее не полностью доступен. Скачать можно, но зарегистрироваться - нет. Чем это отличается от описанного Вами случая про "переезд в РФ и всё, прощай мировая известность софта"?
Понятно, что непонятно как интегрируются. Важно начать и приступить. Я не являюсь профессиональным программистом, и гит использую только как средство хранения исходного кода с возможностью посмотреть, что там было/стало. И вот начать бы хотя бы с этого. Я верю, что программистов без образования - много, выпускают же кого-то всевозможные курсы? Я считаю эти образовательные платформы - хорошей рекламной площадкой и если завтра появятся подобные ресурсы ("русский гитхаб"), то новых пользователей можно заводить уже туда, а не на гитхаб, где тысячи проектов образуют уже кладбище идей.
Думали о пакетах, сделали deb и rpm. Закинули к себе на проект - оказалось невостребовано, поэтому не добавляем никуда. Несколько раз коллеги из сообщества появлялись с горячим желанием собирать пакеты и выкладывать в репозитории, но устали ещё на этапе идеи. Нам это не особо нужно, так как код скриптов на perl/php работает одинаково и каких-то особых опций компиляции, как в Си нам не надо.
Рад за Ваши успехи в опенсорсе.
15 лет в опенсорсе, а вам слабо?