Форк Terraform случился в 2023 году: HashiCorp сменила лицензию на BSL, сообщество ответило манифестом OpenTF. Тогда вопрос звучал тревожно — «безопасно ли вообще ставить на форк?». В 2026-м он устарел. OpenTofu живёт под Linux Foundation, остаётся drop-in-заменой с тем же HCL и теми же провайдерами, в проде версия 1.11, среди адопторов — Allianz и Fidelity. Вопрос стал прагматичным: не «можно ли», а «когда форк уже выгоднее оригинала».
От «рискованно» к «дефолту по умолчанию»
OpenTofu — не догоняющий клон. Это отдельный движок с тем же синтаксисом, но собственной траекторией. Drop-in здесь буквальный: тот же HCL, те же провайдеры из реестра, файл .terraform.lock.hcl не переименовывается, блок terraform {} принимается как есть. CLI — tofu, governance — community под Linux Foundation, а не один вендор. Для нового проекта порог входа нулевой, а лицензия MPL 2.0 (OSI) снимает вопросы BSL у юристов сразу, без оговорок.
Чем форк обошёл upstream
Главное за два года: OpenTofu не просто держит паритет — местами он впереди оригинала.
Нативное шифрование state и plan (с 1.7) — блок encryption {} с AWS/GCP KMS или OpenBao, без внешних sops и GPG. В Terraform этого нативно нет. Early evaluation (1.8) разрешает переменные в блоке backend {} и в module.source — динамические backend-конфиги, которые в upstream невозможны. for_each на провайдерах (1.9) сворачивает мультирегион в один блок вместо ручных алиасов. Нативный S3-локинг (use_lockfile, без DynamoDB) приехал в OpenTofu 1.10 — на релиз раньше, чем в Terraform 1.11. Это уже не «бесплатная замена», а движок, который решает задачи, недоступные оригиналу.
Лок-ин асимметричен: остаться — тоже ставка
Распространённый миф: миграция — риск, а статус-кво — безопасность. На деле совместимость односторонняя. Terraform → OpenTofu проходит легко: миграционные инструменты, план с нулём изменений. Обратно дорога болезненна — если вы успели использовать уникальные фичи, зашифрованный state и динамические backend-и просто несовместимы с оригиналом. То есть «ничего не менять» — тоже выбор с последствиями: чем дольше команда сидит на BSL-движке и обрастает HCP-спецификой (Stacks, Sentinel), тем дороже потом развязка.
Миграция дешевле, чем страх перед ней
Реальный кейс: 8 тысяч строк, 12 модулей, три окружения, backend на S3 + DynamoDB, GitHub Actions — переход занял около четырёх часов, и бо́льшая часть времени ушла на переписывание CI, а не кода. Контур такой:
Сначала применить все pending-изменения и забэкапить state — мигрировать нужно с чистого состояния. Затем скоординированно удалить .terraform.lock.hcl всей командой одновременно, иначе у коллеги с lock-файлом от Terraform будут hash-конфликты. Дальше tofu init и tofu plan, который обязан показать ноль изменений — это и есть go/no-go-гейт: есть дифф, значит не мигрируем, а разбираемся. Последний шаг — заменить в пайплайне setup-terraform на setup-opentofu. И не миксовать бинарники на одном state: после tofu apply все инженеры и CI переходят на tofu, иначе копится тихий drift.
Где Terraform всё ещё выигрывает
Честный контрапункт: форк — не универсальный ответ. Оставаться на Terraform рационально, если: есть глубокая инвестиция в HCP Terraform и Sentinel — экосистема политик и оркестрации завязана на вендора; нужны Stacks для оркестрации множества workspace, а у OpenTofu аналога пока нет; нужна официальная MCP-интеграция для AI-агентов — она есть у Terraform, у форка официальной пока нет, и это важно, если вы строите агентные пайплайны; нужен корпоративный support от IBM и устраивает BSL у legal-команды. Это рациональный выбор, а не консерватизм.
Правило выбора на 2026
Для greenfield-проекта дефолт — OpenTofu: нулевой порог входа, OSI-лицензия, фичи местами впереди, никакой BSL-экспозиции. Форк «уже выгоден», когда у вас нет лок-ина в HCP, а ценны нативное шифрование state, динамические backend-и и отсутствие вендорской зависимости. Оставаться на Terraform стоит только при глубокой завязке на HCP Stacks, Sentinel или MCP — либо при жёстком требовании вендорского support. Эра единого стандарта IaC закончилась, началась эра выбора; и в 2026 для большинства новых проектов осознанный выбор смещается в сторону форка.