Иван Панченко: Для построения независимой отечественной СУБД-отрасли важно объединять усилия локального сообщества

Postgres Professional — лидер в мировом рейтинге контрибьюторов PostgreSQL. Созданная компанией версия Postgres Pro — это отдельная, защищенная разработка, в которой угрозы из открытого ПО сведены к минимуму. О российском рынке СУБД и перспективах использования решений с открытым кодом рассказал Иван Панченко, сооснователь и заместитель генерального директора Postgres Professional.

CNews: Как давно российские специалисты участвуют в разработке Postgres? Какова их роль в сообществе?

Иван Панченко: Мы были причастны к разработке PostgreSQL еще до того, как проект стал международным. Более того, именно Олег Бартунов, сооснователь Postgres Professional, в прямом смысле открыл его для мира. В 1995 году он сделал поддержку локализации, и постгрес начал работать с разными языками — к английскому добавился русский и многие другие. Вместе с Федором Сигаевым они создали методы доступа GiST, GIN и SP-GiST, лежащие в основе геоинформационных систем, а Postgres уже для мира NoSQL открыли разработки HStore и затем JSON. Также они являются авторами полнотекстового поиска, индексного поиска KNN, других полезных патчей и расширений. За это заслуженно получили статус Major Contributors и фактически стали основоположниками российского сообщества PostgreSQL.

Если оценивать общий вклад россиян в открытую СУБД, то ситуация одновременно радует и огорчает. С одной стороны, Postgres Professional — лидер в мировом рейтинге контрибьюторов PostgreSQL, занимает 2-е место среди 144 компаний. В то же время кроме нас там всего 2 российских компании. Если сравнить с количеством СУБД в Реестре отечественного ПО, которых порядка 100, то проблема становится еще глобальнее. Это значит, что сообщество пытаются использовать вхолостую, как источник заработка, не написав при этом ни строчки кода.

Сегодня, когда приходится строить независимую отечественную СУБД-отрасль, важно объединять усилия локального сообщества, а не распылять их. К сожалению, в большинстве случаев осознанность отечественных вендоров близка к среднему уровню системной разработки в стране, т.е. достаточно низкая.

CNews: Каковы риски использования продуктов с открытым кодом?

Иван Панченко: Опасность свободного ПО одновременно связана с его главными преимуществами. Открытый код доступен для всех — не только настоящих разработчиков, но и злоумышленников. Они тоже изучают код, ищут уязвимости, иногда даже внедряют их, а после атакуют систему через слабые места. Последствия таких диверсий могут оказаться критичными — современный мир во многом базируется на данных. Единственный способ им противодействовать — растить сообщество вокруг продукта, ведь чем больше разработчиков «следят» за кодом, тем больше шансов найти опасную ошибку первыми.

Внедряя продукт с открытым кодом, нужно понимать, какая команда фактически за ним стоит, и кто (скорее никто) несет ответственность за это ПО. Если в системе случится серьезная проблема, например, на уровне кода, кому придётся её решать.

CNews: Как удается купировать эти риски в Postgres Pro?

Иван Панченко: Postgres Pro — это отдельная, защищенная разработка, в которой угрозы из открытого ПО сведены к абсолютному минимуму. Настоящие вендоры говорят делами, поэтому приведу реальные факты.

Все редакции Postgres Pro имеют сертификаты ФСТЭК. К слову, мы были первыми среди российских СУБД-разработчиков, кто прошел переаттестацию по новым требованиям регулятора.

Для повышенной безопасности в Postgres Pro внесено много серьезных функций, благодаря которым СУБД успешно используют и в объектах КИИ. Одна из таких — маскирование данных — с помощью расширения pgpro_anonymizer можно маскировать или заменять конфиденциальные коммерческие или персональные данные.

Функция «Администратор без доступа к данным» разработана по запросу клиентов и во исполнение требований ФСТЭК. Эта разработка позволяет защититься от злоумышленников, имеющих права суперпользователя, администратора базы данных или СУБД, не давая им ни изменять, ни читать конфиденциальные данные.

Среди других важных функций в области безопасности: очистка выделенной оперативной и дисковой памяти, доработка расширения pg_proaudit, утилита pg_integrity_check, профили пользователей и поддержка более 10 методов аутентификации.