Импортозамещение веб-стека: реальные альтернативы без фанатизма

«Импортозамещение» часто превращают в перенос ради переноса: меняют то, что работает, ломая код и теряя месяцы. Разберём, где замена обоснована — санкционные риски, блокировки, отказ в оплате, — где это вопрос политики, а где фанатизм. По блокам стека, с конкретными альтернативами 2026 года.

Что заменять обязательно — есть прямой риск

• Платёжные шлюзы. Stripe и PayPal недоступны для российских юрлиц. Замена — ЮKassa, CloudPayments, Robokassa, Тинькофф Касса. Полный набор: рекуррент, СБП, BNPL, фискализация по 54-ФЗ из коробки.
• Облака и хостинг. AWS, GCP, Azure ограничивают новые аккаунты, оплата российской картой не проходит, аккаунт могут заблокировать. Альтернативы — Yandex Cloud, VK Cloud, Selectel, Timeweb Cloud, Cloud.ru. По S3-API, Kubernetes, managed PostgreSQL и ClickHouse — функциональный паритет.
• CDN и защита от DDoS. Cloudflare работает в бесплатном плане, но без поддержки и enterprise-договора в РФ. Рабочие варианты — Qrator Labs, DDoS-Guard, Yandex CDN, Selectel CDN, G-Core.
• Карты. Google Maps Embed работает, но платный API недоступен по оплате. Yandex Maps JS API и 2ГИС API закрывают задачи геокодирования, маршрутов, виджетов.
• Видео. YouTube embed работает с замедлениями. Для надёжной встройки на сайт — VK Video, Rutube.
• Email-рассылки. Mailchimp, SendGrid, Postmark не принимают оплату из РФ. Unisender, DashaMail, Sendsay, MailoPost.
• Аналитика. Google Analytics 4 запрещён для госсектора, для коммерции работает, но с риском трансграничной передачи (см. 152-ФЗ). Яндекс Метрика — стандарт.
• Капчи. reCAPTCHA блокируется и тормозит в РФ. Yandex SmartCaptcha — нативная замена.

Что заменять желательно — закон или политика

• Шрифты. Google Fonts через CDN светит IP пользователя на сервер Google — формально трансграничная передача. Хостить локально в a/f/, это и быстрее: один меньше TCP-handshake.
• Чаты и виджеты. Intercom, Drift, Crisp недоступны по оплате. Jivo, Carrot quest, Talk-Me, Helpdeskeddy.
• Подписки и SaaS внутри продукта. Если в стек встроены Calendly, Loom, Notion, Airtable — иметь fallback: Яндекс Календарь, Kontur Talk, Yonote, AppSheet-аналоги.
• Helpdesk и тикеты. Zendesk → Юздеск, Okdesk, IntraService.

Что не нужно трогать — фанатизм

• Open-source без юрисдикции. React, Vue, Svelte, Node.js, PHP, Python, Go, PostgreSQL, Redis, nginx — это код под MIT, BSD, Apache. У него нет владельца, который «выключит» доступ. Менять не на что и не зачем.
• GitHub. Бесплатные публичные репозитории работают. Зеркало в GitVerse, GitFlic или self-hosted Gitea — страховка, а не замена.
• Docker Hub. Тормозит, но образы достаются через прокси-зеркала или corporate Harbor. Полная миграция избыточна.
• NPM, PyPI, Packagist. Работают. Внутренний прокси (Nexus, Artifactory) ставится из соображений надёжности и аудита, не санкций.
• CI: GitLab CE, Gitea Actions, Drone. Self-hosted, лицензии свободные.

Когда импортозамещение обязательно — реестр российского ПО

Госзаказчик и компании с госучастием по 44-ФЗ и 223-ФЗ обязаны закупать ПО из реестра российского ПО. Это меняет правила игры: продукт должен туда попасть, а значит, инфраструктура и зависимости — выбираться с учётом критериев включения. На практике это Astra Linux вместо CentOS, PostgresPro вместо ванильного PostgreSQL (или сертифицированная сборка), 1С-Битрикс вместо WordPress. Для веб-студии работа с госзаказом без этого невозможна.

Прагматичный план миграции

1. Аудит зависимостей: что используется, что блокируется, что оплачивается зарубежной картой.
2. Блок «обязательно» — менять первым: платежи, хостинг, CDN, email, аналитика.
3. Блок «желательно» — по графику, с A/B-тестом производительности и UX.
4. Open-source — не трогать, провести аудит лицензий и форков на всякий.
5. Документировать выбор: какая альтернатива, почему, кто отвечает за миграцию.

Итог: импортозамещение — управление рисками, а не идеология. Менять там, где угроза оплате, доступу или нарушение закона. Не менять то, что работает и нейтрально по юрисдикции. Фанатизм стоит дорого и не покупает безопасность.