2同行回答
为了兼顾安全及方便,那必须保证制品管理和安全扫描能力可以很好的联动
通过制品库做所有开发语言的制品管理,并通过内置的安全扫描功能,进行合规管控,可实现下述功能
1,自动做到制品引入,开发人员使用方便
2,自动做到风险管控,对于风险制品阻断开发下载
3,自动做到制品环境同步,打通开发生产,提高工程效率,真正做到devops,开发与生产打通
JFrog制品库支持上述能力,这样在方便的情况下,实现了安全管控,
收起浏览609
首先金融行业一定是安全第一,其次才是方便。金融行业要求生产环境与开发环境物理隔离,我们的安全分了几个方面:
1.制品仓库分为开发端和生产端多个集群
2.开发端的制品仓库与互联网的网络访问关系也是定向开放的,没有完全开放
3.在开发测试时,会有xray做开源软件漏洞扫描,也会有安全团队的黑盒扫描
4.一切都OK后,才会打上质量标签,传递到生产环境
浏览626