В завершение 2025 года хотелось бы взглянуть на проект российского BPM-движка “с высоты птичьего полета” и оценить, насколько нам удалось продвинуться по глобальной функциональной карте. Особенно в свете недавно вышедшего обзора ТБанк, где коллеги пришли к выводам о необходимости создания собственного форка и поставили много вопросов о том, что Camunda-ориентированная разработка архитектурно хороша, но не отвечает многим современным требованиям безопасности.
UPD: прямая ссылка на исходный программный код, лицензия Apache 2.0
В качестве введения
Технологический стек BPM систем достаточно мощный, но сложный, и его бывает трудно “продать бизнесу”. Частый паттерн: технически всё возможно, но организационно получается тяжело собирать и надежно согласовывать процессные требования, ощущается острая нехватка инструментов для быстрого прототипирования и промежуточных демо. Кроме того, корпоративные пользователи боятся vendor-lock и сложной экосистемы, которую потом будет дорого развивать и поддерживать.
Администраторам и командам разработки BPM систем на сегодняшний день не хватает (а это объективные данные на начало 2026 года, полученные на основе наших встреч с участниками рынка, а также анализа огромного числа выгрузок с профильных инженерных чатов, форумов и блогов):
Наблюдаемости и контроля процессов в проде;
Безопасного и управляемого изменения процессов;
Удобной работы с задачами на операторов;
Полноценного BPM-DevOps, а не набора разрозненных API;
Стандартной работы с данными и интеграциями;
Предсказуемого масштабирования;
Фокуса на бизнес-ценностях, а не на BPM-терминах.
Часто получается, что процессы есть, но непонятно, что реально происходит в проде, так как нет корреляции между процессом, инцидентом, контекстом и бизнес-данными. Поэтому основные направления доработок корпоративных BPM систем, на наш взгляд, должны быть сосредоточены на:
Облегчении понимания;
Полноте контроля;
Уверенности и прогнозируемости;
Гибкости и удобстве.
Вот примерно в таком ключе и посмотрим на состояние проекта OpenBPM.
Для наших новых читателей напомню, что российский продукт OpenBPM, вошедший в Репозиторий ИТ-решений для финансовой отрасли ассоциации ФИНТЕХ (реестровая запись АФТ1213), представляет собой доработанную локализацию иностранного промышленного BPM решения Camunda 7, в котором:
Проведено исправление всех публичных уязвимостей (Обзорная статья, Вебинар с подробным разбором);
Проведен рефакторинг по очистке программного кода BPM-движка от устаревших технологий, повышена стабильность работы, упрощено тестирование;
Поддержана совместимость со всеми популярными дизайнерами BPMN-схем, в том числе предложена своя независимая реализация дизайнера;
Проведено разделение BPM-движка и инструментов, с использованием российского фреймворка Jmix и открытой среды разработки OpenIDE:
Проведено перекрытие собственными компонентами Enterprise функционала Camunda 7;
Обеспечена сов��естимость с российскими ОС RedOS, AltLinux, AstraLinux;
Обеспечено ускорение и удешевление проектов автоматизации.
Информацию по требованиям отразим в виде набора таблиц, типичных для тендерной документации.
Архитектура
Актуальная потребность | Camunda 7 CE (EOL 2025) | OpenBPM |
Поддержка стандартов BPMN 2.0 и DMN 1.3 | Да | Да |
Поддержка stand-alone и embedded вариантов использования | Да | Да |
Разные варианты поставки артефактов (docker, portable, src) | Да | Да, уже полностью на российской инфраструктуре |
Поддержка короткоживущих и длительных процессов, восстановление консистентного состояния при перезапуске | Да | Да |
Отчуждаемость и переносимость схем процессов между средами | Да | Да |
Версионирование схем процессов | Да | Да |
Поддержка альтернативных дизайнеров процессов | Условно, Да | Да |
Наличие развитого REST API и Java API | Да | Да |
Поддержка механизма External Tasks для внешней реализации обработчиков сервисных задач на любом языке программирования | Да | Да |
Поддержка механизма делегатов и листенеров для внутренней реализации сервисных тасков | Да | Да |
Поддержка механизма отчуждения истории обработки экземпляров на внешнее хранилище | Да | Да |
Дистрибутивные инструменты для работы в режиме с отчуждением истории | Нет | В разработке на 2026 год |
Встроенные в BPM-движок дистрибутивные механизмы блокировок и перезапросов | Да | Да |
Потребности команд разработки и сопровождения
Актуальная потребность | Camunda 7 CE (EOL 2025) | OpenBPM |
Работа с черновиками схем процессов | Нет | В разработке на 2026 год |
Группировка схем процессов | Нет | В разработке на 2026 год |
Работа с процессными артефактами непосредственно из среды IDE | Нет | Да |
Кодогенерация в среде IDE и шаблоны развертывания | Нет | Да |
Расширенное документирование схем процессов через UI | Нет | Да |
Развитый UI для управления средой исполнения в рантайме | Скорее, Нет, так как многие функции реализованы только через API | Да, единый центр управления с возможностью переключаться между BPM-движками |
Алертинг по инцидентам | Нет | В разработке на 2026 год |
Дистрибутивные механизмы миграции экземпляров между схемами процессов | Да | Да, включая расширенный функционал работы с указателями шага |
Bulk-операции с экземплярами процессов через UI | Нет | Да |
CRUD-операции с процессными переменными на экземплярах процессов через UI | Нет | Да |
Сообщения и сигналы через UI | Нет | В разработке на 2026 год |
Интеллектуальная навигация по call activity и экземплярам расчета DMN схем через UI | Нет | Да |
Пошаговая отладка схем процессов | Нет | В разработке на 2026/27 год |
Валидация схем в процессе деплоя | Скорее, Нет | В разработке на 2026 год |
Интеллектуальное сравнение схем процессов | Нет | Нет, но продолжаем активно экспериментировать, в т.ч. с умной генерацией ID для активностей |
Обеспечение возможности запуска экземпляров процессов по расписанию через UI | Нет | В разработке на 2026 год |
Возможность использовать произвольный фронтальный стек для реализации витрин задач | Да | Да |
Поддержка современного окружения, как минимум JDK 21, SpringBoot 3.5 и выше | Условно, Да | Да, делаем переход на SpringBoot 4 |
Дистрибутивный механизм стыковки с системами BI и Process Mining | Нет | В разработке на 2026 год |
Механизмы использования AI агентов | Нет | В разработке на 2026 год |
AI помощник для работы с документацией и диагностики проблемных экземпляров с учетом бизнес-контекста | Нет | В разработке на 2026 год |
Дистрибутивный коннектор для обмена сообщениями с Apache Kafka | Скорее, Нет, но есть варианты community плагинов | Да |
Варианты быстрого расширения интеграций | Скорее, Нет, только через сторонние community плагины | В разработке на 2026 год, за счет дистрибутивной интеграции с Apache Camel и его набором шаблонных адаптеров |
Поддержка многомодульных java-проектов, кастомные экранные формы “без боли” | Нет | В разработке на 2026 год, за счет возможностей Jmix |
Сборка пакета деплоя из нескольких файлов, единая цепочка CI/CD: model → test → deploy → observe | Скорее, Нет, но есть поддержка на уровне API | В разработке на 2026 год |
А поговорить? Устойчивое инженерное сообщество, в том числе русскоязычное | Условно, Да | Да, включая вновь созданные каналы |
Таком образом, все актуальные потребности либо уже перекрыты готовым функционалом платформы, либо запланированы/находятся в реализации.
Производительность
Актуальная потребность | Camunda 7 CE (EOL 2025) | OpenBPM |
Поддержка кластерной конфигурации | Да | Да |
Обеспечение возможности независимого масштабирования BPM-движка и UI-компонентов | Нет | Да |
Поддержка параллельного исполнения не менее 2 млн. экземпляров процессов без существенной потери производительности | Условно, Да | Да |
Конфигурации до 50 PPS | Да | Да |
Конфигурации до 100 PPS | Да | Да |
Конфигурации до 300 PPS | Условно, Да, но придется отключить или перенаправить историю, а также тонко настроить ядро СУБД | Да, с учетом тех же особенностей |
Высоко нагруженные конфигурации до 1000 PPS | Нет, рекомендован переход на Camunda 8 | Нет, с первого раза не получилось, но продолжим эксперименты по стыковке с перспективным российским OLTP ядром SoQol и другими решениями |
HighLoad | Нет | Нет |
Безопасность
Актуальная потребность | Camunda 7 CE (EOL 2025) | OpenBPM |
Способность работать полностью в “on-premise” конфигурации, включая сборку embedded проектов | Да | Да |
Способность работать полностью в российском окружении ОС, JDK, СУБД | Условно, Да, проблемы начинаются при использовании специальных защищенных конфигураций ОС | Да |
Устранение известных уязвимостей, периодический поиск и устранение новых | Нет, в версии 7.24 более 30 уязвимостей, включая критичные | Да |
Развитые ролевые группы для администраторов | Условно, Да | Да |
Аудит действий администраторов, модуль для выгрузки аудита во внешние системы анализа | Нет | В разработке на 2026 год, за счет возможностей Jmix |
Дистрибутивная поддержка OAuth2/OpenID при логине администраторов | Нет | В разработке на 2026 год, за счет возможностей Jmix |
Дистрибутивная поддержка OAuth2/OpenID при логине операторов витрины задач | Нет | В разработке на 2026 год |
Дистрибутивная поддержка OAuth2/OpenID при доступе к API BPM-движка | Нет | В разработке на 2026 год |
Встраивание в конвейер Dev-Sec-Ops на актуальном программном стеке | Условно, Да | Да |
Если с производительностью все более-менее понятно, то почему столько внимания уделяется теме с авторизациями и уязвимостями, если обычно ядро Camunda функционирует в закрытом и защищенном сетевом контуре? Формально да, контур изолированный, но аргументацию для ИБ служб, почему мы не исправляем уязвимости, получается подбирать все сложнее, так как у процессов регулярные изменения, а значит регулярные деплои, а значит постоянное внимание со стороны ИБ и риск непредвиденных задержек при выкатке обновлений.
Еще это связано с предстоящими изменениями законодательства:
Федеральный закон от 31.07.2025 № 325-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации" предполагал, в т.ч., дальнейшую систематизацию работы с реестром российского ПО, на основе подзаконных актов, разработанных со стороны Минцифры. В настоящее время завершен этап публичного обсуждения Проекта Постановления Правительства Российской Федерации «Об утверждении Правил формирования и ведения перечня российских программ для электронных вычислительных машин и баз данных, разработанных и используемых для собственных нужд российскими юридическими лицами» (https://regulation.gov.ru/projects/160484/ ).
Вступление в силу этого Постановления планируется с 1 марта 2026 года.
До 1 марта 2026 Правительство должно будет утвердить порядки ведения 3-х новых специализированных реестров, назначить нового единого оператора реестров, а также сформировать состав комиссий для проработки подзаконных актов и дальнейшего мониторинга исполнения. Новые реестры:
Перечень значимых разработчиков (решения которых допускаются в государственные и критически важные проекты);
Перечень доверенного ПО (соответствие требованиям ФСБ и ФСТЭК);
Перечень ПО для собственных нужд компаний (можно в КИИ и при этом не обязательно включать в базовый Реестр российского ПО или в специализированный реестр доверенного ПО).
Таким образом, предполагается некая актуализация или инвентаризация состава базового Реестра российского ПО, связанная с размещением ПО в новых специализированных реестрах. Что позволит выявить компоненты ПО, которые к настоящему моменту времени не имеют поддержки, не обновляются и содержат известные ошибки и уязвимости. Кроме того, предполагается, что для доверенного ПО станет обязательной система периодической проверки на уязвимости, со сроком устранения выявленных проблем не более 30 дней.
В качестве резюме
Компания Хоулмонт вложила более 20 чел./лет в развитие Flowable/Activity и Camunda проектов, чтобы в России появился инженерный опыт разработки, поддержки и развития промышленных BPM движков. И сейчас вы можете воспользоваться нашими наработками совершенно бесплатно без регистраций, без запросов ТКП - просто прийти и скачать Community версию на GitFlic.
Если вопросы КИИ и ЗОКИИ для вас не пустой звук - пожалуйста подключайтесь в наши TG каналы, для вас у нас есть решение. По свежим исследованиям CNews доля российских BPM-решений составляет порядка 85–90% новых внедрений. И этот процесс перехода уже не остановить.
Подписывайтесь на канал BPM Developers — про бизнес-процессы: новости, гайды, полезная информация и юмор.
