Когда Bloomberg решила стандартизировать свою инфраструктуру Java в 2018 году, компания столкнулась с решением, которое повлияет на более чем 1000 инженеров и некоторые из крупнейших в мире развертывания Apache Kafka, Cassandra и Solr. Ставки были высокими. Как поставщик финансовой инфраструктуры для инвестиций и бизнес -профессионалов во всем мире, надежность не была дополнительной — это была обязательно.
Выбор компании — Eclipse Temurin, распределение OpenJDK от рабочей группы Фонда Eclipse — предоставляет уроки для любого предприятия, направляющего все более сложный ландшафт принятия с открытым исходным кодом.
Согласно Eclipse, рабочая группа по усыновлению продвигает и поддерживает высококачественные технологии забега и связанные с ними технологии для использования в экосистеме Java, предоставляя Java Technology Compatibility Satmbatibility (TCK), сертифицированные OpenJDK через Eclipse Temurin.
Императив нейтралитета поставщика
«Мы искали нейтральный поставщик», — сказал Andrey Rybka, руководителя CTO Cloud Compute, платформу и архитектуру безопасности в Bloomberg. Rybka работает с Java с 1995 года и руководит инициативами Bloomberg по открытым исходным кодом.
В дополнение к Oracle, «Есть IBM, Red Hat, AWS-специфические дистрибутивы, даже Microsoft сейчас в игре. Есть множество вариантов»,-сказал он.
В ландшафте, где доминируют проекты с открытым исходным кодом с одним поставщиком, организации сталкиваются с реальными рисками смещения. «Если существует проект с открытым исходным кодом, который является только открытым исходным кодом одной компании, вы всегда рискуете потенциально смешением в какой -то момент с тем, что вы хотите сделать, или что эта компания хочет делать», — сказал Рибка.
Для Bloomberg, которая описывает себя как компанию «Перво открытого исходного кода», нейтралитет поставщика, предоставленный управлением фондом, был не подлежащим обсуждению. «Если это организация, нейтральная, фонд Eclipse или некоторые другие фонды, с которыми мы участвуем, именно здесь вы можете обеспечить лучшие выравнивания и приоритеты»,-объясняет он.
В то время как Bloomberg называет себя «с открытым исходным кодом», это отличается от открытого исходного кода, отметил Rybka. Они будут использовать коммерческое программное обеспечение, когда это имеет смысл, но когда они строят что -то новое, они сначала надеются на опции с открытым исходным кодом. Для компании с этой философией, имея основу в середине — Eclipse, Apache, Linux Foundation, кто бы ни был — предоставляет буфер. «Если это организация, нейтральная, то здесь вы можете обеспечить лучшую выравнивание и приоритеты»,-сказал Рибка.
Помимо бесплатного пива: предложение реальной ценности
Компании нуждалась в долгосрочной поддержке, которая не заставила бы постоянные рискованные обновления, полную сертификацию TCK, чтобы обеспечить совместимость и поддержку платформы, которые соответствовали их конкретным требованиям оборудования и ОС. TCK — это тестовый набор, который доказывает, что вы используете соответствующую реализацию Java, а не чье -то творческое интерпретация спецификации.
По словам Рыбки, своевременные исправления безопасности были важны, как и одобренное OSE-утвержденным лицензированием, которое обеспечивало предсказуемые условия.
Помимо этих технических требований, Bloomberg также рассмотрел стратегические факторы, включая нейтралитет поставщиков и структуры управления, возможности безопасности цепочки программного обеспечения, вибрацию окружающих сообществ и варианты коммерческой поддержки при необходимости специализированной экспертизы.
В своем заявлении Фил Вачон, глава отдела инфраструктуры в офисе технического директора Bloomberg, подчеркнул измерение качества: «Как поставщик финансовой инфраструктуры, мы надеемся использовать программное обеспечение, которое мы имеем наивысшее качество и стабильность, поскольку наша инфраструктура должна иметь такую же надежность и стабильность, которые мы обеспечиваем для наших клиентов».
Eclipse Temurin доставлен по этим требованиям. Сертификация Distribution TCK, безопасные методы разработки и прозрачный счет материалов программного обеспечения (SBOMS) дал уверенность Bloomberg, чтобы полагаться на технологию как для внутренних систем, так и для продуктов, ориентированных на клиента.
Кроме того, управление Фондом Эклипса означало, что ни одна компания не может захватить проект.
«Организации ищут безопасные, высококачественные альтернативы с открытым исходным кодом и поставщиком, а Тюрин доставляет именно это»,-сказал Майк Милинкович, исполнительный директор Фонда Eclipse. «Благодаря последнему выпуску мы продолжаем предоставлять организации качества и гарантий, ожидаемые от коммерческих предложений, а также представляем новые способы поддержки и поддержания этого импульса и поддерживать этот импульс».
Измерение безопасности
В финансовых услугах безопасность цепочки поставок программного обеспечения имеет решающее значение. Bloomberg поддерживает зрелые процессы для отслеживания уязвимости и циклов патча, генерируя и проглатывая SBOMS по всему стеку.
«Безопасность цепочки поставок программного обеспечения, вероятно, является самой большой вещью», — говорит Рибка. «Log4shell был серьезным предупреждением, которое выявило это. Но мы уже делали это еще до этого».
Даниэль Скантеану, инженер-программист Bloomberg, который является сопредседателем гильдии Java и JVM (виртуальная машина Java) и вносит свой вклад в проект Eclipse Adpostium, указал на фактор прозрачности.
«Повышенная прозрачность в компонентах и зависимости программного обеспечения позволило Bloomberg активно управлять уязвимостью и снижать потенциальные риски», — сказал он в заявлении.
Модель управления Фонда Эклипса и фокус безопасности Темерина хорошо совпадали с этими требованиями. «Работа Темерина в области разработки программного обеспечения и сертификация своих JDK с TCK дала Bloomberg уверенность в том, чтобы доверять OpenJDK в Temurin», — сказал Скантеяну.
Реальность миграции
Пояснил, что переход к Темерину не был тривиальным. В 2018 году Bloomberg переключился со своих двоичных файлов JDK 8 и стандартизировал свой JVM на Eclipse Temurin. Учитывая глубину и широту интеграции Java в рамках операций Bloomberg, в основном ручной миграцией была, по словам Рибки, «массивным, но достойным начинанием».
Однако исполнение было более плавным, чем предполагалось. «По качеству, это было довольно солидно»,-сказал Рибка. «Мы не видели слишком много регрессий, или даже если мы что -то сообщили, это было рассмотрено быстро».
Инструменты автоматизации и наблюдения хорошо работали из коробки. «Управление миссией Eclipse, анализатор памяти для анализа кучи — если у вас есть какие -либо проблемы, мы не видели ничего, что сказало бы, что у нас были некоторые серьезные проблемы», — отметил он.
Когда вы сможете точно увидеть, что находится во время выполнения Java, вплоть до уровня зависимости, вы можете сделать что -то с уязвимостями, прежде чем они укусят вас. Безопасные методы развития Темерина были не только маркетингом — они соответствовали тем, что команды безопасности Bloomberg должны были выполнять свою работу.
Тем не менее, одна проблема, которая сохраняется: отсутствие коммерческой поддержки по умолчанию. «По умолчанию не существует коммерческой поддержки с цитатой»,-сказал Рибка. «Если у меня есть отношения с поставщиком с кем -то, кто также поддерживает конкретный продукт с открытым исходным кодом, это своего рода идеальное пересечение». Bloomberg обращается к этому через сочетание внутренней экспертизы и селективных отношений с поставщиками для специализированной поддержки.
Внесение ответа: не только свободные гонщики
Философия Блумберга выходит за рамки потребления. «Мы не хотим быть свободными гонщиками. Мы хотим вернуть», — подчеркивает Рибка.
Вклад компании в Adoptium включает в себя значительную работу над генератором VDR и инструментами сборки Temurin, причем Scanteianu особенно участвует в инициативах цепочки безопасности и цепочки поставок в рамках рабочей группы усыновления. Один инженер Bloomberg даже работает в Руководящем совете Python, в то время как команды вносят свой вклад в многочисленные другие проекты, включая Chromium, Kubernetes, Prometheus и Grafana.
Это обязательство проистекает из философии и прагматизма. «По мере того, как мы создаем наши возможности для созревания в этом конкретном проекте или фонде, будут некоторые проблемы», — пояснил Райбка. «Это помогает, когда у вас есть участники, которые могут помочь нам в этом».
Консультации по усыновлению Enterprise Java
Основываясь на опыте Bloomberg, Rybka предлагает прагматическое руководство для организаций, оценивающих распределение Java. Первым шагом является понимание вашего собственного контекста.
«Я хотел бы понять их экосистему и их возможности. У нас есть тысячи инженеров — для нас это был правильный выбор», — сказал он. «Если вы все в AWS, возможно, распределение AWS было бы лучшим выбором. Это зависит от конкретной проблемы, которую вы пытаетесь решить».
Rybka рекомендует создать матрицу принятия решений, в которой перечислены все критические требования и соответственно оценивают каждый вариант поставщика. Долгосрочная поддержка (LTS) может быть обязательной, совместимость с платформой еще одним важным фактором и облачной стратегией еще одним соображением. Ключ — это соответствовать вашим конкретным потребностям с тем, что доступно, а не слепо следуя отраслевым тенденциям.
Rybka также предостерегает от поиска универсального решения.
«Я не думаю, что должно быть только одно распределение, которое управляет ими все. Мне действительно нравится, что здесь много хорошего выбора, а некоторые действительно хороши в некоторых конкретных областях», — сказал он.
Различные организации имеют разные потребности, а разнообразие вариантов отражает разнообразие вариантов использования в экосистеме Enterprise Java.
Рибка особенно подчеркнула важность долгосрочной поддержки.
«Если у вас есть JDK без LTS, вы должны быть действительно хороши с обновлениями», — сказал он. «Каждое обновление будет нести некоторый риск, потому что потенциально будут регрессии, если вы прыгаете без долгосрочной поддержки».
С нетерпением жду: ИИ и ценность фундаментов
По словам Рибки, когда Bloomberg продолжает расширять свой след с открытым исходным кодом — особенно в искусственном интеллекте, где инвестиции «растут чрезвычайно надежно» — компания утверждает, что фундаментальные навыки архитектуры программного обеспечения остаются важными, даже в эпоху ассистентов по кодированию ИИ.
«Я думаю, что это очень многообещающе, но у меня есть оптимизм, что хорошая разработка программного обеспечения безопасна»,-сказал Райбка о кодировании Vibe и инструментах разработки на основе AI. «Хорошее чувство архитектуры, хороших практик, практики жизненного цикла разработки программного обеспечения — это не исчезает».
Компания продолжает инвестировать в основы «скучного стека», таких как промежуточное программное обеспечение и базы данных, одновременно исследуя передовые области, включая модельный протокол контекста (MCP) и агентские рамки »,-сказал он. Python, JavaScript, Kubernetes и инструменты безопасности все факторы в будущих планах.
Решение Bloomberg Eclipse Temurin является моделью вдумчивого предприятия с открытым исходным кодом.
«Продолжающиеся инвестиции Темерина в безопасные, своевременные сборки сделали очень легко продолжать выбрать его в качестве нашего предпочтительного JDK», — сказал Вачон.
Действительно, для Rybka выбор Temurin отражает более широкую эволюцию Bloomberg. «Проходя через весь процесс, от потребления до участия в сообществе, вклада в проект и теперь в качестве лидера в открытом исходном коде, Bloomberg может гарантировать, что Temurin продолжает быть доступным в качестве бесплатной открытой платформы с открытым исходным кодом, как для нашего внутреннего использования, так и для более широкого технического сообщества».
Trending Stories youtube.com/thenewstack Tech движется быстро, не пропустите эпизод. Подпишитесь на наш канал YouTube, чтобы транслировать все наши подкасты, интервью, демонстрации и многое другое. Группа подпишитесь с эскизом. Дэррил К. Тафт охватывает DevOps, инструменты разработки программного обеспечения и проблемы, связанные с разработчиком из своего офиса в районе Балтимора. Он имеет более чем 25 -летний опыт работы в бизнесе и всегда ищет следующий совок. Он работал … читайте больше от Дэррила К. Тафта
