Comments 26
вообще сам по мебе открытый код ничегно не дает, ведь все регулируется лицензией, вроде это вопрос холиваров, но ИМХО нужна не только открытость но и свобода, поэтому предпочтительнее свободное ПО, а не ПО с открытым исходным кодом
В этом материале речь не про абстрактный «открытый код», а вполне конкретно про Open Source, который не только про доступность кода, но и те самые свободы. Они зафиксированы в Open Source Definition. Код авторов публикации — это, как я понял, fistful-server и другие проекты организации RBKmoney. У них Open Source-лицензия Apache-2.0 License.
Действительно, мало открыть код, надо ещё выбрать ту лицензию, которая подходит под ваши цели и задачи. Мы выбрали пермиссивную лицензию Apache 2.0, которая позволяет желающим использовать наш код со своими доработками без каких-либо ограничений, но надеемся на вовлечение пользователей в совместное развитие платформы. (И мы знаем, к нам обращаются с такими вопросами, что такое желание есть у ряда пользователей).
мы подготовили опрос, который поможет понять, есть ли будущее у финтеха с открытым исходным кодом.
А что такое финтех с открытым исходным кодом?
Допустим если Yandex Money работает на pg, openjdk, apache ...., camunda, etc - это финтех с открытым исходным кодом?
Мне больше интересно: кто оплатил этот опрос и для каких целей?..
А как же случаи, когда и открытый свободный код, и при этом всё равно заказывается у поставщика? То есть, поставщик разрабатывает и продаёт, но при этом спокойно отдаёт свои исходные коды в народ. Чаще всего в таких случаях, исходники даются бесплатно и свободно, а вот бинари и официальная поддержка поставщика продаются за деньги, на чём, собственно, поставщик и зарабатывает. Кроме всем известного RedHat, есть ещё несколько примеров, например, некая DAW (забыл её название), которая в собранном виде продаётся за деньги, а исходники открыты, на, пожалуйста, если хочется ковыряться в коде и собрать самому, бери и собирай. Иначе если хочешь, чтобы всё подали на блюдечке - "плати денежку, и мы всё организуем индивитуально для Вас".
В любом случае, если речь идёт о задачах для бизнеса, требующего повышенной безопасности (особенно в такой чувствительной сфере как финансовой, привлекающей немало киберворишек), то здесь важна не закрытость-открытость кода, а именно обеспечение надёжности системы от взломов. Также, ничто не отменяет тот факт, что ключи шифрования, используемые в системе, должны быть надёжно защищены, и, по возможности, изолированы от интернета аппаратно, например, работать через USB-модуль, с которого физически невозможно извлечь закрытый ключ (если же в нём нет уязвимостей, конечно же).
Если говорить в общем, открытые коды удобны для возможности независимых специалистов по безопасности исследовать код и выявить возможные уязвимости в коде прежде, чем они будут использованы кибер-воришками, и таким образом, прежде чем внедрять решение в бизнес, оно должно быть отполировано народом задолго до. У закрытых систем независимо опретелить реальный уровень надёжности, не представляется возможным, и поэтому, у таких систем есть только два статуса - взломана или невзломана.
В больших и сложных системах зачастую бывает непросто разобраться и должным образом настроить все части, чтобы платформа начала приносить прибыль. Мы помогаем нашим клиентам в установке и сопровождении системы, оперативно исправляем уязвимости и вообще исповедуем принцип "безопасность-в-дизайне" (поскольку наша область очень критична ко взломам, первый же из которых может стать последним для бизнеса). Два The Standoff без единого взлома, как мне кажется, говорят о том что наши усилия были не напрасны.
Для нас это так же большой вызов, поскольку мы из финтех-компании , которая придумала процессинг для собственных нужд, превратились в компанию, предлагающей его всем желающим, и мы понимаем что для решения озвученных вопросов нам (как компании и как, надеюсь, сформировавшемуся в будущем сообществу) предстоит сделать очень многое. К слову у нас уже есть примеры клиентов, которые смогли сами разобраться и поднять у себя частично или целиком процессинг уже сейчас
Поэтому обычной практикой является изолирование мест, куда клиент может добавить свою бизнес-логику, с предоставлением API для такого расширения функциональности и сохранением поддержки на работу решения в целом.
Опечатки:
«Гугл», «Яндекс» и «Эппл» имеют собственную платёжную систему
Не систему, а системы -- 3 штуки.
Open Source в финтехе даст, как возможности, так и проблемы. Опять же все нужно считать, как любой конкретный продукт скажется на бизнес-процессах, технологической безопасности компании. Хотя.... Мы все в разработке используем часто и в основном open source решения, это позволяет нам создавать и поддерживать сложные системы. Но все нужно считать, оценивать реальные риски и свои возможности поддерживать и развивать продукты на основе этого ПО. Все не однозначно.
Полностью поддерживаем. Важно принять во внимание целый ряд факторов, начиная с потребностей бизнеса, правильной постановки задачи, оценки всех ресурсов и возможностей. Из позитивного - еще лет пятнадцать назад хороших решений open source уровня enterprise было не так много. К признаками зрелости можно отнести не только развитую кодовую базу, но и наличие квалифицированной поддержки, документации, сопровождение, вообще, всю инфраструктуру, которая входит в понятие «продукт». Сейчас у многих опенсорсных решений это все, к счастью, присутствует.
Стесняюсь спросить, открытый исходный код ПО платёжного процессинга IT-компании OSNOVA сопровождается столь же открытым "исходным кодом" модели угроз и нарушителя, выбора уровня безопасности, требуемых средств защиты, формуляров с проектными условиями эксплуатации, протоколов сертификационных/аттестационных исследований.
Закрытого продукта не существует. Особенно если учесть, что весь финтех держится на Java и С#. Такие программы очень легко реверсируется в удобочитаемые исходники. Обычно код закрывают для того, чтобы клиент не увидел низкого качества приобретаемого продукта.
По большому счету, все так. При этом реверс – на грани дозволенного, такая серая зона. Да, это известный прием, но насколько он этичен, а главное легален? Открытый код в этом смысле сильно проще – он уже открыт, не нужно реверсировать, что-то теряя по пути, потому что бинарный код в удобочитаемый на те же Java и С# перевести один в один не всегда получается. Бери, смотри, ставь, изучай.
Как финтек разработчик - хочу подкинуть парочку центов на вентилятор.
1)Коробочные решения и вендор лок стоят бешено дорого. Но когда встает вопрос цены ошибки - вся "халява" в виде оупен сорса проваливается в пропасть огромных убытков. Не соизмеримых с ценой коробок. Это в РФ. На западе - можете смело умножать на 1000.
2)Платформа написана на Эрланге. Хотите новых фич? Нанимайте эрлангеров. Много знаете таких на рынке? И сколько они стоят? Не знаете? Ну тогда идите в "Основу" и несите им свои центы. Ничего против Эрланга не имею - отличная технология/платформа.
3)RBC.Money привет! Главный спонсор сегодняшнего пиршества.
Хорошего дня разрабам "Основы" :)
Открытое безопасное будущее: оцениваем шансы open source на успех в финтехе
Когда конкуренты точнее, быстрее и с наименьшими затратами удовлетворяют запросы клиентов и держат их в пределах своей экосистемы, быстрый запуск новых удобных финансовых сервисов и их масштабируемость — это вопрос выживания.