У нас компания наконец раздуплилась и сделала то, что давно просили разработчики - выкатила образ корпоративной убунтой со всеми требуемыми внутренними проприетарными обвесками для аудитов, секьюрити чеков во внутренней сети, сборкой всего для документооброта и коммуникации (он весь на офис365 и тимзе, увы и с этим ничего не сделать и даже пытаться никто не собирается) и официально разрешила установку этого на корпоративные буки в качество основной системы.

Винда при необходимости доступна на виртуалке из корпоративного же образа или через десктом-он-деманд на внутреннем облаке через рдп.

Мне на это, честно говоря, похер, я давно работаю с домашнего стационарного компа с OpenSUSE к которой привык по историческим причинам, и вообще не люблю буки - но знак хороший, учитывая, что ещё год назад они заявляли "мы сертифайд голд партнер МС, у нас безопасность, контроль и единая среда и никакого линукса на рабочих станциях в ней нет и не будет, если вам надо по проекту, ставьте в виртуалку или запрашивайте образ в облаке"

@Хрень с лапками "сборкой всего для документооброта и коммуникации (он весь на офис365 и тимзе"

Правильно, если всё уже слито на тот конец и яйца надёжно затянуты в петлю, то на Винду можно и не тратиться :)

Вообще, я вот думаю, что скоро её будут бесплатно раздавать как оболочку для облачных сервисов.

@Хрень с лапками по-моему, Linux с проприетарщиной - это не Linux, а какое-то оксорбление чуйств :)
какой смысл в безопасной опенсорцной системе, если её изнасиловали проприетарщиной? а всякие там аудиты юзерской части - это насилие над юзерами. копрорасты это любят. я - нет.
с тимзами борюсь. я как раз устраиваюсь на работу и моё условие: никакой проприетарщины на моей стороне. тут я ни шагу не уступлю. эту порнографию на свой комп я никогда в жизни не поставлю.

@Хрень с лапками кстати, вышеописанная новость должна, наконец, убить маздай вместе с этим сраным тимзом. я очень на это надеюсь.

@Александр,

к сожалению, реальная альтернатива - или групвайзы с HCL Notes (в девичестве лотосами) - что ещё дороже и криповее, или огромные вложения в самостоятельное выпиливание по организационной структуреи на порядок большие траты на внешние секьюрити аудиты от клиентов.

Опен соурс тут может предоставить отдельные ад-хок решения, но интеграция всего этого в компанию с десятками тысяч работников в десятках разных стран так, чтобы всё прозрачно взаимодействовало с одним корпоративным аккаунтом - задача, мягко говоря, не тривиальная. Решения, годные для пары тысяч человек в тройке офисов, просто не масштабируются и не работают. А если даже как-то суметь это поднять и удержать на весу, то доказать аудиторам из какой-нибудь ассоциации банков, что это безопасно и переписка с клиентами, скажем, никуда не утечёт, крайне затруднительно. Аргументы "как она утечёт, всёж шифруется!", не работают.

А вопрос миграции с одного на другое, я вообще не представляю, с какой стороны решать.

Почта, репозитории документов тысяч комманд, паблик ресурсы, не паблик ресурсы, календари, профайлы, лдап всея компании, внутренний PKI, система телеконференций, интегрированная со всем этим, как настольных, таки и с железками в митинг румах, сквозная сестема аккаунтов с SSO всея компании, с балансингом, роаспределением, HA доступом, фэйлсэйфом, гостевые аккаунты, разовые ссылки доступа и т.д. и т.п. - всё увязано через МС решения и замыкается на офис365 и их лдап

@Iron Bug

по-моему, Linux с проприетарщиной - это не Linux, а какое-то оксорбление чуйств :)

Ну да, но это наконец возможностти таки работать на линуксе. Чистой системы там не будет никогда, ибо 3 слоя аудитов и проверки того, что в закрытом периметре не запускается ничего из чёрного списка, а в особо закрытом - запускается только белый список.

Если 70+ процентов жирных клиентов - это крупные банковские ассоциации, страхование и хелскэа, которые дрочат на секьюрити аудтиты и контролируемую рабочую среду у всех, кто хоть как-то касается их сети и и их процессов - то по другому не выйдет. Они по другому просто не подпишут контракт

@Хрень с лапками Это всё знакомо, да, пусть и в меньших масштабах.

А что подобный аудит думает про Office365? Тоже ведь и почта ходит через сторонний сервис, и пароли синхронизируются, небось.

@Александр
Нет, там не сторонний сервис. Это корпоративный домен со своими сервисами и мс-паспорт привязанный к корпоративному домену через корпоративные логин-сайты и айдентити провайдеры.

Выглядит это как перенаправление на страницу логина компании после ввода имейла на странице логина офиса. Дальше от серверов офиса тольео морда. Все данные с серверов компании, пришифрованные сертификатом компании.

Но, мне кажется, аудиторы думают даже не об этом, а о том, что "у сервиса, которым пользуется компания есть нужный нам сертификат безопасности - ставим зелёную галочку..."

@Хрень с лапками Тимс в любом случае облачный и сторонний и учётки тоже придётся в облако загрузить (пусть даже без паролей) - это как минимум. Если используется облачный Exchange, то ещё глубже...

Но да, видимо, подход именно такой.

@Хрень с лапками не, одно дело - сервера. там путь хоть зааудируются. и другое дело - девелоперский комп, который вообще личное дело и никто туда лезть не должен.
и да, всё это никак не предотвращает слив данных, если юзер оказался злонамеренным и у него есть доступ к данным. так что вопрос лишь в подборе сотрудников, а не в анальной пенетрации.

@Хрень с лапками это анальный зонд по самые гланды.

Ну, у нас лезут. И требуют наличия на компах сканера из одобренного списка, впн из одобренного списка и клиентов впн из одобренного списка. И наличия в сканерах одобренного блэклиста софта (скажем, запрещено всё п2п и всё на DHT. И ходят с антенками вайфай щупают. И ещё время от времени играют в фишинг случайным образщом, проверяя - не выйдет ли чего вытянуть.

Меня это последние годы огибает, т.к. я работаю на отдельного клиента-партнёра с меньшим градусом паранои, потому что там нет кастомерских данных, а есть только их продукт, которым кастомеры on-premise пользуются. А от своей компании мне нужна только почта и иногда долбанный тимз, к которым доступ есть без этой гирлянды энтерпрайз кишек.

Но вот до этого пару лет сидел в закрытом периметре, работающем с ситемой WestLaw и там был эпизоическтий, пусть и не совсем прямой, но доступ ко всей продакшен базе всех судебных кейсов сша, канады и великобритании за всю историю ведения (включая оцифрованные судебные архивы всяких 14хх годов, ага) , со всеми данными всех участников. И вот там было да.

Я сбежал.

@Хрень с лапками я не понимаю, зачем айтишным компаниям весь этот мрак. говорить про безопасность с такими дырами - это вообще бессмысленно.
а поднять свой сервер для почты, мессенджера и всяких там вики и ишью-трекеров - это вообще плёвое дело. там работа админа на пару дней максимум. как можно сливать коммерческую тайну копрорастам - я не могу понять от слова совсем.

а потом юзеры плачут, что копрорации воруют их личные данные и сливают всё куда попало.

Но там ещё веселее было. Это был внутренний закрытый периметр с максимальным рестрикшеном на всё, при этом из этого периметра доступ был только на цитриксовые виртуалки клиента и вся работа велась только на них.

В инет можно было выйти только со своего планшета через гостевой вайфай. Устройства с доступом к мобильной сети не разрешались (в теории их надо было оставлять в сейфе, на практике просили не доставать из сумок), звонить при необходимости от меня и ко мне можно было через айпи телефонию внутреннюю через донабор кода абонента

@Iron Bug
ну это же кровавенький. Там вопрос безопасности - это не вопрос чтобы не утекло, а вопрос, чтобы ты за это не нёс ответственности. 300 слоёв бюрократии, формально прикрывающих свои жопы от потенциальных судебных исков.

Буде что-то утечё с миллиардным ущербом, они обложаться данными аудитов и контрактами и начнут игру в перенаправление ответственности и в поиски кто же в итоге будет всё компенсировать.

В процессе красиво поиграют на бирже

@Iron Bug

я не понимаю, зачем айтишным компаниям весь этот мрак.

продуктовым не нужен. Но тут же ж не продуктовая. Епам предоставляет сервис по разработке, а не продукт. Фактически, сдаёт работников в аренду и условия определяет клиент.

И основные клиенты, как я писал - банки, страховщики, здравохранение. Это особый безумный мирок в конец ебанувшихся юристов.

@Iron Bug

говорить про безопасность с такими дырами - это вообще бессмысленно

Фишка в том, что если утечёт через сервисы МС, то платить будет МС. Ну как платить. Там дальше будет многолетние судебные игрища между нашими клиентами и мс, но мы из неё ловко устраняемся, прикрывшись данными аудитов.

@Хрень с лапками то есть, это у клиента такой загиб? печально.
я думала пойти работать в EPAM. но что-то там не было интересных проектов на тот момент.
я даже пособеседовалась с какими-то индусами, но у них был тимз и это всё мне обломало.

@Хрень с лапками суд с M$ - это да, перспективно :)
но всё равно я этого не понимаю.

Я это приучился воспринимать, как особенности сложного рельефа и плохого климата. Чтобы не портить об попытки с этим бодаться свою психику

@Хрень с лапками я поняла, что особенности рельефа и климата надо выяснять сразу, до заселения на территорию :)
я никогда не умела прогибаться и если я в чём-то уверена, то меня с этой точки не сдвинуть. а безопасность - это один из ключевых факторов в IT. я могу забить на какие-то мелкие фигни, которые ни на что не влияют. но за проприетарщину я закрыть глаза никак не могу.