В завершение 2025 года хотелось бы взглянуть на проект российского BPM-движка “с высоты птичьего полета” и оценить, насколько нам удалось продвинуться по глобальной функциональной карте. Особенно в свете недавно вышедшего обзора ТБанк, где коллеги пришли к выводам о необходимости создания собственного форка и поставили много вопросов о том, что Camunda-ориентированная разработка архитектурно хороша, но не отвечает многим современным требованиям безопасности.
UPD: прямая ссылка на исходный программный код, лицензия Apache 2.0
В качестве введения
Технологический стек BPM систем достаточно мощный, но сложный, и его бывает трудно “продать бизнесу”. Частый паттерн: технически всё возможно, но организационно получается тяжело собирать и надежно согласовывать процессные требования, ощущается острая нехватка инструментов для быстрого прототипирования и промежуточных демо. Кроме того, корпоративные пользователи боятся vendor-lock и сложной экосистемы, которую потом будет дорого развивать и поддерживать.
Администраторам и командам разработки BPM систем на сегодняшний день не хватает (а это объективные данные на начало 2026 года, полученные на основе наших встреч с участниками рынка, а также анализа огромного числа выгрузок с профильных инженерных чатов, форумов и блогов):
Наблюдаемости и контроля процессов в проде;
Безопасного и управляемого изменения процессов;
Удобной работы с задачами на операторов;
Полноценного BPM-DevOps, а не набора разрозненных API;
Стандартной работы с данными и интеграциями;
Предсказуемого масштабирования;
Фокуса на бизнес-ценностях, а не на BPM-терминах.
Часто получается, что процессы есть, но непонятно, что реально происходит в проде, так как нет корреляции между процессом, инцидентом, контекстом и бизнес-данными. Поэтому основные направления доработок корпоративных BPM систем, на наш взгляд, должны быть сосредоточены на:
Облегчении понимания;
Полноте контроля;
Уверенности и прогнозируемости;
Гибкости и удобстве.
Вот примерно в таком ключе и посмотрим на состояние проекта OpenBPM.
Для наших новых читателей напомню, что российский продукт OpenBPM, вошедший в Репозиторий ИТ-решений для финансовой отрасли ассоциации ФИНТЕХ (реестровая запись АФТ1213), представляет собой доработанную локализацию иностранного промышленного BPM решения Camunda 7, в котором:
Проведено исправление всех публичных уязвимостей (Обзорная статья, Вебинар с подробным разбором);
Проведен рефакторинг по очистке программного кода BPM-движка от устаревших технологий, повышена стабильность работы, упрощено тестирование;
Поддержана совместимость со всеми популярными дизайнерами BPMN-схем, в том числе предложена своя независимая реализация дизайнера;
-
Проведено разделение BPM-движка и инструментов, с использованием российского фреймворка Jmix и открытой среды разработки OpenIDE:
Проведено перекрытие собственными компонентами Enterprise функционала Camunda 7;
Обеспечена совместимость с российскими ОС RedOS, AltLinux, AstraLinux;
Обеспечено ускорение и удешевление проектов автоматизации.
Информацию по требованиям отразим в виде набора таблиц, типичных для тендерной документации.
Архитектура
Актуальная потребность |
Camunda 7 CE (EOL 2025) |
OpenBPM |
Поддержка стандартов BPMN 2.0 и DMN 1.3 |
Да |
Да |
Поддержка stand-alone и embedded вариантов использования |
Да |
Да |
Разные варианты поставки артефактов (docker, portable, src) |
Да |
Да, уже полностью на российской инфраструктуре |
Поддержка короткоживущих и длительных процессов, восстановление консистентного состояния при перезапуске |
Да |
Да |
Отчуждаемость и переносимость схем процессов между средами |
Да |
Да |
Версионирование схем процессов |
Да |
Да |
Поддержка альтернативных дизайнеров процессов |
Условно, Да |
Да |
Наличие развитого REST API и Java API |
Да |
Да |
Поддержка механизма External Tasks для внешней реализации обработчиков сервисных задач на любом языке программирования |
Да |
Да |
Поддержка механизма делегатов и листенеров для внутренней реализации сервисных тасков |
Да |
Да |
Поддержка механизма отчуждения истории обработки экземпляров на внешнее хранилище |
Да |
Да |
Дистрибутивные инструменты для работы в режиме с отчуждением истории |
Нет |
В разработке на 2026 год |
Встроенные в BPM-движок дистрибутивные механизмы блокировок и перезапросов |
Да |
Да |
Потребности команд разработки и сопровождения
Актуальная потребность |
Camunda 7 CE (EOL 2025) |
OpenBPM |
Работа с черновиками схем процессов |
Нет |
В разработке на 2026 год |
Группировка схем процессов |
Нет |
В разработке на 2026 год |
Работа с процессными артефактами непосредственно из среды IDE |
Нет |
Да |
Кодогенерация в среде IDE и шаблоны развертывания |
Нет |
Да |
Расширенное документирование схем процессов через UI |
Нет |
Да |
Развитый UI для управления средой исполнения в рантайме |
Скорее, Нет, так как многие функции реализованы только через API |
Да, единый центр управления с возможностью переключаться между BPM-движками |
Алертинг по инцидентам |
Нет |
В разработке на 2026 год |
Дистрибутивные механизмы миграции экземпляров между схемами процессов |
Да |
Да, включая расширенный функционал работы с указателями шага |
Bulk-операции с экземплярами процессов через UI |
Нет |
Да |
CRUD-операции с процессными переменными на экземплярах процессов через UI |
Нет |
Да |
Сообщения и сигналы через UI |
Нет |
В разработке на 2026 год |
Интеллектуальная навигация по call activity и экземплярам расчета DMN схем через UI |
Нет |
Да |
Пошаговая отладка схем процессов |
Нет |
В разработке на 2026/27 год |
Валидация схем в процессе деплоя |
Скорее, Нет |
В разработке на 2026 год |
Интеллектуальное сравнение схем процессов |
Нет |
Нет, но продолжаем активно экспериментировать, в т.ч. с умной генерацией ID для активностей |
Обеспечение возможности запуска экземпляров процессов по расписанию через UI |
Нет |
В разработке на 2026 год |
Возможность использовать произвольный фронтальный стек для реализации витрин задач |
Да |
Да |
Поддержка современного окружения, как минимум JDK 21, SpringBoot 3.5 и выше |
Условно, Да |
Да, делаем переход на SpringBoot 4 |
Дистрибутивный механизм стыковки с системами BI и Process Mining |
Нет |
В разработке на 2026 год |
Механизмы использования AI агентов |
Нет |
В разработке на 2026 год |
AI помощник для работы с документацией и диагностики проблемных экземпляров с учетом бизнес-контекста |
Нет |
В разработке на 2026 год |
Дистрибутивный коннектор для обмена сообщениями с Apache Kafka |
Скорее, Нет, но есть варианты community плагинов |
Да |
Варианты быстрого расширения интеграций |
Скорее, Нет, только через сторонние community плагины |
В разработке на 2026 год, за счет дистрибутивной интеграции с Apache Camel и его набором шаблонных адаптеров |
Поддержка многомодульных java-проектов, кастомные экранные формы “без боли” |
Нет |
В разработке на 2026 год, за счет возможностей Jmix |
Сборка пакета деплоя из нескольких файлов, единая цепочка CI/CD: model → test → deploy → observe |
Скорее, Нет, но есть поддержка на уровне API |
В разработке на 2026 год |
А поговорить? Устойчивое инженерное сообщество, в том числе русскоязычное |
Условно, Да |
Да, включая вновь созданные каналы |
Таком образом, все актуальные потребности либо уже перекрыты готовым функционалом платформы, либо запланированы/находятся в реализации.
Производительность
Актуальная потребность |
Camunda 7 CE (EOL 2025) |
OpenBPM |
Поддержка кластерной конфигурации |
Да |
Да |
Обеспечение возможности независимого масштабирования BPM-движка и UI-компонентов |
Нет |
Да |
Поддержка параллельного исполнения не менее 2 млн. экземпляров процессов без существенной потери производительности |
Условно, Да |
Да |
Конфигурации до 50 PPS |
Да |
Да |
Конфигурации до 100 PPS |
Да |
Да |
Конфигурации до 300 PPS |
Условно, Да, но придется отключить или перенаправить историю, а также тонко настроить ядро СУБД |
Да, с учетом тех же особенностей |
Высоко нагруженные конфигурации до 1000 PPS |
Нет, рекомендован переход на Camunda 8 |
Нет, с первого раза не получилось, но продолжим эксперименты по стыковке с перспективным российским OLTP ядром SoQol и другими решениями |
HighLoad |
Нет |
Нет |
Безопасность
Актуальная потребность |
Camunda 7 CE (EOL 2025) |
OpenBPM |
Способность работать полностью в “on-premise” конфигурации, включая сборку embedded проектов |
Да |
Да |
Способность работать полностью в российском окружении ОС, JDK, СУБД |
Условно, Да, проблемы начинаются при использовании специальных защищенных конфигураций ОС |
Да |
Устранение известных уязвимостей, периодический поиск и устранение новых |
Нет, в версии 7.24 более 30 уязвимостей, включая критичные |
Да |
Развитые ролевые группы для администраторов |
Условно, Да |
Да |
Аудит действий администраторов, модуль для выгрузки аудита во внешние системы анализа |
Нет |
В разработке на 2026 год, за счет возможностей Jmix |
Дистрибутивная поддержка OAuth2/OpenID при логине администраторов |
Нет |
В разработке на 2026 год, за счет возможностей Jmix |
Дистрибутивная поддержка OAuth2/OpenID при логине операторов витрины задач |
Нет |
В разработке на 2026 год |
Дистрибутивная поддержка OAuth2/OpenID при доступе к API BPM-движка |
Нет |
В разработке на 2026 год |
Встраивание в конвейер Dev-Sec-Ops на актуальном программном стеке |
Условно, Да |
Да |
Если с производительностью все более-менее понятно, то почему столько внимания уделяется теме с авторизациями и уязвимостями, если обычно ядро Camunda функционирует в закрытом и защищенном сетевом контуре? Формально да, контур изолированный, но аргументацию для ИБ служб, почему мы не исправляем уязвимости, получается подбирать все сложнее, так как у процессов регулярные изменения, а значит регулярные деплои, а значит постоянное внимание со стороны ИБ и риск непредвиденных задержек при выкатке обновлений.
Еще это связано с предстоящими изменениями законодательства:
Федеральный закон от 31.07.2025 № 325-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации" предполагал, в т.ч., дальнейшую систематизацию работы с реестром российского ПО, на основе подзаконных актов, разработанных со стороны Минцифры. В настоящее время завершен этап публичного обсуждения Проекта Постановления Правительства Российской Федерации «Об утверждении Правил формирования и ведения перечня российских программ для электронных вычислительных машин и баз данных, разработанных и используемых для собственных нужд российскими юридическими лицами» (https://regulation.gov.ru/projects/160484/ ).
Вступление в силу этого Постановления планируется с 1 марта 2026 года.
До 1 марта 2026 Правительство должно будет утвердить порядки ведения 3-х новых специализированных реестров, назначить нового единого оператора реестров, а также сформировать состав комиссий для проработки подзаконных актов и дальнейшего мониторинга исполнения. Новые реестры:
Перечень значимых разработчиков (решения которых допускаются в государственные и критически важные проекты);
Перечень доверенного ПО (соответствие требованиям ФСБ и ФСТЭК);
Перечень ПО для собственных нужд компаний (можно в КИИ и при этом не обязательно включать в базовый Реестр российского ПО или в специализированный реестр доверенного ПО).
Таким образом, предполагается некая актуализация или инвентаризация состава базового Реестра российского ПО, связанная с размещением ПО в новых специализированных реестрах. Что позволит выявить компоненты ПО, которые к настоящему моменту времени не имеют поддержки, не обновляются и содержат известные ошибки и уязвимости. Кроме того, предполагается, что для доверенного ПО станет обязательной система периодической проверки на уязвимости, со сроком устранения выявленных проблем не более 30 дней.
В качестве резюме
Компания Хоулмонт вложила более 20 чел./лет в развитие Flowable/Activity и Camunda проектов, чтобы в России появился инженерный опыт разработки, поддержки и развития промышленных BPM движков. И сейчас вы можете воспользоваться нашими наработками совершенно бесплатно без регистраций, без запросов ТКП - просто прийти и скачать Community версию на GitFlic.
Если вопросы КИИ и ЗОКИИ для вас не пустой звук - пожалуйста подключайтесь в наши TG каналы, для вас у нас есть решение. По свежим исследованиям CNews доля российских BPM-решений составляет порядка 85–90% новых внедрений. И этот процесс перехода уже не остановить.
Подписывайтесь на канал BPM Developers — про бизнес-процессы: новости, гайды, полезная информация и юмор.
beswalod
Не пойму. Хаб "Open source" указан, но исходников для OpenBPM не нашёл. Или свободное ПО здесь только OpenIDE, а весь движок проприетарный?
openbpm_pm Автор
Добрый день. Так прямо в конце статьи ссылка на GitFlic с исходниками :-)
beswalod
Ой, точно... Спасибо!
openbpm_pm Автор
Ноу проблем. Для удобства перенес ссылку прямо в начало статьи.