基础架构的组件，比如基础镜像，系统组件，运维负责业务系统的jar，war，研发负责业务系统的配置中心，研发负责基础架构的框架，比如高速通讯框架，注册框架，架构师负责

我们的经验是同步一般是单向的“包传递”，也就是所谓的“制品晋级”，开发-测试-准生产-生产库从左向右单向传递，制品包只有通过质量门禁、安全监测等步骤才能晋级到更高级别的库。应用和配置参数分离确实需要落地开展，最好使用配置中心进行配置参数管理。...

制品库自身的安全，开源产品可以扫描其源码和依赖。商业产品只能找厂商要相关材料了。内部制品的安全靠安全产品或企业内安全团队来检测，和其他应用软件的检测办法一样

我们是用的artifactory，全语言管理依赖，支持镜像仓库，配套有xray实现安全扫描

个人理解软件安全管控和工具没有绑定的关系，因为安全是硬性的，无论用什么工具都必须满足企业的安全要求，即使是传统运维还是DEVOPS。传统运维和DEVOPS的区别只是把安全和质量相关的规范，做成线上化的自动的。 比方说：安全部门发布的一个开源jar的安全漏洞，如何实现制品库的自动...

通过制品的元数据管理能力，集成devops整条流水线上，每个环节都把数据记录到制品上

制品库如何统计各项目中使用依赖库这个不太明白，所有制品库都可以统计使用的依赖库呀如何解决依赖库中版本不一致问题是指版本号一样，但实际不一样的制品吗

制品库本身也有管理开发语言依赖的功能，金融行业一般到互联网不是开放的，开发时需要大量的互联网依赖，制品仓库可以提供服务

我们使用的artifactory有配套的xray来扫描开源软件，xray本身集成了nvd，cnvd，vulndb漏洞库