קוד פתוח: פלטפורמה לאבטחה ופרטיות הגדולה בעולם

קוד פתוח: פלטפורמה לאבטחה ופרטיות הגדולה בעולם
מאת: חיים חביב, 13.5.18, 07:00

ראיון בלעדי עם אוונגליסט קוד פתוח ברד האט Red Hat ומי שמגדיר עצמו כ"סיוט של פטנטים בתחום התוכנה". מידע מרתק למפתחים ולצוותי DevOps, ולארגונים ועסקים בעולמות הטלקום והאבטחה.

יאן וילדבור, (בתמונה), עובד ברד האט 13 שנים. הוא הצטרף לחברה כאיש פריסייל. אז העסיקה החברה 600 עובדים בעולם, עם הכנסות של כ-30 מיליון דולרים בשנה. היום היא מעסיקה 12,000 עובדים, עם מחזור מכירות של כ-3 מיליארד דולרים. החברה תרמה לכ-450 פרויקטים של קוד פתוח בכל ההיבטים של מערך התוכנה, החל ממערכת ההפעלה וכלים למפתחים, ועד תווכה (Middleware), הדסקטופ והענן. שוויה עומד על 28 מיליארד דולרים, ולה 85 משרדים ב-35 מדינות.

וילדבור התוודע ללינוקס ב-1993 ומאז הוא 'לוחם' מסור למען קוד פתוח, וגם עסק בפיתוח פרויקטים של קוד פתוח. במסגרת תפקידו הוא מרבה לצאת ממשרדו בגרמניה (מטה EMEA) ולסייר באירופה, המזה"ת ואפריקה, כדי לדון ולשכנע באמונה עמוקה, שקוד פתוח, ידע וסטנדרטים הם הדרך העדיפה ללכת בה. הוא מטיף בנשמתו אך גם מלא הומור. לראיון הוא מגיע חבוש כובע אדום (מהמהדורה של ותיקי החברה), ומתלוצץ, שהגיעה כבר העת לשדרג את מעמדו למעלת ארכיבישוף.

שאלה: ברשותך לבסיק, מה ההבדל בין קוד פתוח לשימוש בתוכנה חופשית?
יאן וילדבור: "מדובר בעולמות תוכן שונים. תוכנה חופשית מופצת לשימוש חופשי של אנשים פרטיים או ארגונים. בד"כ, היא אירוע חד-פעמי של פיתוח כלי, שהמפתח או החברה מצאו לנכון לשתף עם אחרים לזמן מוגבל.

לעומתה, קוד פתוח משתף את קוד המקור כדי לייצור קהילה והמשכיות. בקוד הפתוח הקוד המקורי פתוח לקהילת המפתחים, והם יכולים לעשות בו שימוש חוזר, עדכון, תיקון ושיפור. בקוד הפתוח ישנם כללים לשימוש מחודש, וברד האט מקפידים להחזיר לקהילה את כל שורות הקוד, ומבטיחים ללקוח בהסכם השירות הגנה מלאה מפני פגיעה בזכויות פטנטים".
 
שאלה: מדוע לאמץ קוד פתוח מנקודת המבט של הארגון?
תשובה: "בדרך הישנה של עבודה עם תוכנה - קונים, משתמשים, והחברה אחראית לכך. תם זמנו של המודל הזה. בכל תחום בו עוסקים צריך לבדוק 2 דברים.

הראשון הוא רלבנטיות. כל דבר היום הוא מוגדר תוכנה. אין צורך בנתבי חומרה ואחסון חומרה. הכול בתוכנה.
דבר שני: בכל דבר מדובר בפעילות בין מערכתית בין מוצרים. לכן צריך להיכנס יותר לתוכנה, ולהבין מה מתרחש בה.

בגישה מוגדרת תוכנה, אנשים יוצרים תוכנות ופתרונות קוד פתוח משלהם, ומכיוון שזה לא מסחרי, למה לא לחלוק את הידע עם אחרים? לדעתי, אי אפשר לבנות מערך בלי רכיבי קוד פתוח בתוכו, והחלטנו בחברה להפוך זאת למודל עסקי, ולבנות את כל חלקי המערך טוב יותר, כאשר במודל העסקי שלנו, הלקוחות לא משלמים עבור התוכנה אלא רק עבור תמיכה, ייעוץ ושירותים נלווים".
 
שאלה: האם, לדוגמא, אפשר להיות כיום ספק שירותי טלקום בלי בעלות על חומרה?
תשובה: "בעבר למפעילים היה תקציב מוגדר להקמת פרויקט. הם הלכו לספקי ציוד הטלקום הגדולים, רכשו מהם מרכיבי רשת, שהיו בבעלותם. כל זה השתנה ב-5-7 השנים האחרונות, כי הספקים ראו, שכל מה שהם עושים הוא דיגיטלי ומוגדר תוכנה. ולכן פנו לדור הבא של טכנולוגיה  ה-NFV, רשת מבוססת תוכנה (Network Function Virtualization).

הספקים הגדולים התנגדו למגמה כי זה פוגע במודל ובהכנסות שלהם, וניסו לעכב את המהלך. נכון, עדיין נדרש ציוד פיזי ייעודי, אנטנות וכו', אבל משם הכול דיגיטלי. הטרנספורמציה הדיגיטלית מעודדת יצירת ארכיטקטורה מומלצת, שתפתור את בעיות חברות הטלקום. הבעיה האמתית היא בפעולה בין-מערכתית מתואמת.

הצעתי את המודל הזה, אך הספקים הגדולים לא רצו לשמוע. בסופו של דבר, הפרויקט בוצע והניב את Open NFV וכולם הצטרפו לפיתוח ארכיטקטורת ייחוס זאת".

שאלה: מה שיעור חדירת הקוד הפתוח לעולמות הטלקום?
תשובה: "כולם משתמשים, אבל עכשיו זו החלטת ארכיטקטורה, גם אם לא הכל קוד פתוח. 80% מהיכולות, שאינן תחרותיות ואינן מיוחדות לספק זה או אחר כמו בילינג וכו', יכולות להיות משותפות".

שאלה: שוק הטלקום די מסורתי ושמרני ומצד שני בעל פוטנציאל עצום. כיצד ניתן לדחוף את זה?
תשובה: "נכון, גם לנו זה עסק של מיליארדי דולרים".

שאלה: כיצד מתגברים על בעיית האבטחה בגישה פתוחה, לכאורה יש כאן סתירה?
תשובה: "אבטחה היא הרבה יותר מאשר קוד. מדובר בגישה כוללת. קוד פתוח דווקא מעצים את האבטחה. בשנים האחרונות נחשפנו לעובדה, שיצרנים השאירו במודע או שלא במודע ״דלתות אחוריות״, שאפשרו לגופי ממשל ולהאקרים לנצל זאת.

הקוד הפתוח, בו מיליוני מפתחים וחברות בעולם רואים כל שורת קוד ויכולים לשנות או להגדיר, הוא המפתח לאבטחה. שקיפות היא הערך המרכזי בבניית אמון. בנוסף, החברה מציעה דרכים רבות לפתרון בעיות אבטחה עם מוצרים וכלים פרואקטיביים המסייעים ללקוחות באבחון אבטחה עצמי.

תתפלא, כיום, פחת מאד הצורך לשכנע לגבי חלופת הקוד הפתוח, שהפכה לטבעית, תוך אמון ברמת האבטחה הגבוהה הנובעת מבדיקה שורות הקוד ע"י הקהילה באופן נרחב, וחסימת איומים אפשריים".

שאלה: יש לכם אחריות לכך?
תשובה: "כן בהחלט, הלקוחות משלמים לנו ואנו מספקים אחריות כוללת".

שאלה: מה גישתם של ארגונים רגישים לאבטחה כמו בעולם הביטחון. האם הם  יכולים להשתמש בקוד פתוח?
תשובה: "כן, גופים ביטחוניים ברחבי העולם מקדמים אתנו פרויקטים גדולים. ודווקא, מכיוון שזה קוד פתוח הם יודעים בדיוק מה יש להם בניגוד למערכים סגורים".

שאלה: אבל משתפים ידע?
תשובה: נכון, והם שמחים מכך. הם יודעים ומחליטים מה לשתף ומה לא לשתף, כי הם רואים את הקוד. לגופים כאלה יש בעיות טלקום זהות למה שיש במכוניות מקושרות, מה שיש בבתי חולים, ומה שיש לחברות טלקום. לא נפלא שכולם יכולים לחלוק מידע?
עם גישה מוגדרת תוכנה הרבה דברים נראים שונים. כאשר הכול תוכנה, מודל הפריסה גמיש. אנו רוצים לעשות הגירה זאת לפשוטה וללא עלות.

עם הגישה שלנו, ועם OpenShift, OpenStack וניהול מסביב, ניתן לומר, שבמערך גדול ניתן להעביר חלק מהעומס לענן ציבורי, ואז להחזיר לארגון".

שאלה: מה לדוגמא עם הבילינג - לב הארגון, נראה שיש היסוס רב לשתף בענן ציבורי?
תשובה: "יש הרבה יותר מכך בארגונים של טלקום ואחרים. לחברות כמו נטפליקס ואחרות יש משימות כבדות של עומסים גדולים של ביקוש לתכניות או סרטים מסוימים, והן קונות את הקיבולת כשירות. המטרה היא לשמור על חווית הלקוח בחברות כמו ספוטיפיי, אמזון ונטפליקס עבור CDN  (אספקת תוכן).

נכון, לכן זו צריכה להיות מערכת דינמית וגמישה. בילינג לא יצא אף פעם, אבל דברים אחרים כן. העניין שצריך למכן את זה, שיהיה אוטומטי, לא ידני. את זה אי אפשר לעשות בעולם מוגדר חומרה, אלא רק בעולם מוגדר תוכנה. ליכולת לעדכן את כל המודולים האלה המתוקשרים ביניהם קוראים DevOps.  

שאלה: אני מבין שיש חילוקי דעות על DevOps.
תשובה: "כש-DevOps חוסך כסף זה עובד. יש הרואים בכך גישה תרבותית, גם בחברות טלקום".

שאלה: מה המודל העסקי שלכם כשהכול פתוח?
תשובה: שירות, תמיכה אבטחה, יעוץ. כל ההסכמים מעל התוכנה אותה מקבלים ללא תשלום. המנוי מאפשר ללקוח לקבל את כל העדכונים לתקופה של המנוי. אגב, אם תוקף הסכם המנוי פג, הלקוח יכול להמשיך להשתמש בתוכנה, תחת אחריותו. זה קוד פתוח. משימת החברה שאני עבד בה היא לשכנע את הלקוח, כל פעם מחדש, שכדאי להמשיך ולחדש את המנוי. הלחץ הוא עלינו".

שאלה: מה מצב חדירת קוד פתוח בישראל?
תשובה: "הייתי בישראל הרבה פעמים. לפני 8-10 שנים זה היה קרב קשה, בעיקר בכל הנוגע למגזר ממשלה ופיננסיים. הכול אז היה מיקרוסופט, אורקל, יבמ. במהלך השנים המצב התקדם והשתנה בהדרגה. בתחום פיננסים ובנקים 95% מהבורסות בעולם 'רצות' כיום על לינוקס, 75% מהן על רד האט. גם הבורסה בישראל. עכשיו חווים שגשוג בקוד פתוח בישראל. מיקרוסופט מגדירה את עצמה היום קוד פתוח, מה שעוד יותר משפיע על אימוץ התפישה.

הרבה פרויקטים מבוססים על קוד פתוח ו-DevOps כמו פפר של בנק לאומי. אז נכון שישראל קצת מאחרת ביחס לאחרים בעולם, אבל היא גם מהירה ביותר".

שאלה: ראיתי סגירת סניפים רבים של בנקים בישראל - עוברים לבנקים דיגיטליים. זו בעיה לאנשים מבוגרים חסרי מיומנות רשת.
תשובה: "כן, אבל זו גם הזדמנות. כולם רוצים בנק דיגיטלי, חלק רוצים גט טקסי או אובר להזמנת מונית. הכל מסמן את המעבר לעולם מוגדר תוכנה.

נושא ה-GDPR ישפיע גם כן. אני מקבל מהשוק משוב, שיש מודעות רבה לטכנולוגיה ולסיכוניה אבל גם לכך, שקוד פתוח מביא עמו פתרונות. הממשלה בבריטניה עושה זאת כבר שנים".

שאלה: מה חזון לטכנולוגיה חדשה למוצרים ולשירותים שלכם?
אין לי באמת חזון. אני מעוניין בהעצמת הלקוחות שלנו. אנו פועלים לפי הצרכים שלהם.

לדוגמא, בתחום טלקום ו-OpenStack, השוק ביקש גרסה מיוחדת, ועשינו זאת בשת"פ עם וואווי ואריקסון. הם ואחרים יכולים להשתמש בקוד, שמפתחים מעבירים לקהילה (במודל Upstream). המטרה היא  לאפשר יותר תקשורת בין אנשים בלי חשיבות במה משתמשים.  לכן, צריך הפשטה (אבסטרקציה)".

שאלה: נושא הפטנטים בקוד הפתוח, איך זה מתיישב עם אלפי פטנטים שלכם?
תשובה: "אני הובלתי את המחאה נגד פטנטי תוכנה בשוק האירופי, לפני שהצטרפתי לחברה. פטנטים בתוכנה הם פגע רע. כחברה יש לנו הבטחת פטנטים. אנחנו חושבים, שהם רעים וצריך להיפטר מהם, ועדיין הם קיימים. לכן, צריך להתגונן כנגד טרולים. כל 7,000 הפטנטים שלנו באים תחת רישיון פשוט וניתן להשתמש בהם. אנו משתמשים בפטנטים בדרך המתגוננת, כדי שלא יתבעו אותנו על הפרות פטנטים.

אנו מבטיחים ללקוחות: אם טרול פטנטים יבוא אליהם, אנו נטפל בזה. זו ה-Assurance (התחייבות שלנו) ללקוחות. בקוד פתוח אנו משתפים את הידע, ונושא הפטנטים נוגד את התרבות שלנו".

שאלה: מהי 'התרבות הפתוחה' שאימצתם?
תשובה: כשרוצים ללמוד מאתנו DevOps, אנו אומרים: זה עניין תרבותי. לכן, הפתרון שלנו היה להקים מעבדות חדשנות תרבותית בהן יכולים הלקוחות לבוא ולהתנסות ולקחת לארגון את התוצרים שמפתחים. אנו לא חברת מוצר. אנו מוכרים ידע, שינוי תרבותי. אנו לא צריכים עוד לקוחות. אנו צריכים לדבר עם הלקוחות וללמוד איך אפשר לסייע להם יותר".

שאלה: ולסיכום, משפט על פעילותכם בישראל.
יאן וילדבור: "לפני 8 שנים רכשנו את הסטארטאפ הישראלי קומרנט, והקמנו בישראל סניף של רד האט הפועל כמרכז מו"פ. היום מועסקים בו 200 עובדים, רובם מהנדסי פיתוח ל-OpenStack וירטואליזציה, וכן אנשי הבטחת איכות. בנוסף, יש בישראל גוף מכירות ושיווק, ייעוץ ופריסייל, שאחראי על פעילות אזורית בישראל, יוון וקפריסין.

גם השנה ממשיך הסניף הישראלי בקצב צמיחה מהיר ומתהדק השת"פ של אנשי המכירות והתמיכה עם מרכז הפיתוח שלנו. אלה יביאו להעצמת מודל הקוד הפתוח אצל הלקוחות המקומיים תוך עבודה ישירה של לקוחות גדולים במערכת הביטחון והבנקאות עם מרכז הפיתוח, והשפעה על מפת הדרכים הטכנולוגית שלנו.

בנוסף, תתוגברנה מגמות הענן ההיברידי והקונטיינרים, יואצו תהליכי פיתוח דרך השימוש בפלטפורמה כשירות - PaaS עם מוצר OpenShift, הטמעת ארכיטקטורת ענן תוך שימוש ב-OpenStack, פיתוח אפליקציות עם תווכת JBoss, ומעבר הדרגתי לאחסון מוגדר תוכנה עם Ceph".