什么是唯一可信源
信通院联合腾讯,阿里,JFrog 等于2019 年提出,并纳入信通院 DevOps 成熟度标准中。
唯一性
唯一可信源是企业内部所有通过审批批准的软件唯一存放的仓库,包括 war 包,Docker 镜像,zip包等,以及第三方开源组件,为生产环境提供唯一可信的制品
可信任
唯一可信源里的制品均有元数据描述制品的生命周期和质量信息
安全性
制品均经过漏洞扫描工具
保障安全风险
为什么需要唯一可信源
很多企业仍然使用 FTP 进行 war 包,zip 等交付包的管理,这样会导致交付包缺失 信息,版本管理的配置变更在哪,版本是否通过了代码扫描,漏洞扫描,自动化测 试和测试团队的 Approve?这些信息的缺失会导致沟通成本急剧上升,造成人力和 时间的大量浪费。随意获取有漏洞的依赖库,或者使用违反公司 License策略的依 赖包,也会给公司带来直接损失。如果没有唯一可信源,各个团队,特别是分布在 多个地区的开发团队将花费大量的时间在配置变更,版本传递和部署上。
服务收益
服务内容
- 1. 统一制品管理
- 2.建设可信的发布流程
- 3.建设可信的权限,认证体系
服务内容● 安装 Artifactory 和 Xray 产品组件并进行定制化性能调优
● 初始化导入组件漏洞数据库,并扫描企业现有组件,导出报告
● 定制化编写制品管理制度规范,便于企业内容推广
● 试点1-3个项目进行 maven、npm、docker 等构建工具集成
● 迁移老系统数据,从 nexus 和 docker 注册中心 (如 Harbor) 迁移数据
● 提供制品库相关培训,包含 Artifactory,Xray,Mission Control,Distribution
交付内容● 交付制品管理规范的文档
● 构建工具集成测试用例通过
● 完成一个项目的数据迁移 (一台 nexus 服务器) 并交付指导手册
● 提供16小时远程或现场培训和材料
● 提供16小时远程或现场培训和材料
● 交付定制化的制品库落地计划
服务内容●在 CI 流水线中与 DevOps 工具集成,如jira,junit,sonar,newman xray 等 devops 工具
● 流水线中集成xray,扫描构建信息,评估软件安全质量
●收集devops工具相关结果作为元数据,如jiraissue,构建信息,单元测试等,作为质量关卡,自动化晋级制品快速流转
● 建立企业单一可信源体系
● 制品库灾备演练
交付内容●完成1-3项目的集成,包括mavennpdocker等流水线脚本
●流水线与制品库集成操作手册
●交付持续集成规范文档,包括唯可信源架构
●制品库灾备演练手册以及应急手册
服务内容●企业自定义SSO单点登录系统集成,用户无缝接入制品库平台
●开发自动化脚本从企业用户中心同步用户和权限到制品库平台,平滑迁移到制品库平台
交付内容●交付SSO代码并运行一个月
●交付权限的同步脚本,并运行一个月
立刻试用, 开启 DevSecOps 之旅…
