制品库自身的安全,开源产品可以扫描其源码和依赖。商业产品只能找厂商要相关材料了。内部制品的安全靠安全产品或企业内安全团队来检测,和其他应用软件的检测办法一样
首先要代码和配置分离。一般来说企业会有配置中心来配合应用拉取不同环境的配置,比如多环境,多机房的不同的配置文件。晋级的制品是指不变的代码。
个人理解软件安全管控和工具没有绑定的关系,因为安全是硬性的,无论用什么工具都必须满足企业的安全要求,即使是传统运维还是DEVOPS。传统运维和DEVOPS的区别只是把安全和质量相关的规范,做成线上化的自动的。 比方说:安全
我们是用的artifactory,全语言管理依赖,支持镜像仓库,配套有xray实现安全扫描
从核心功能上,Nexus跟JFrog相比来说支持语言较少。其他方面,JFrog相对生态更丰富一点,比如安全扫描,多地复制。
devops的工具就是企业软件工程里用到的所有工具,通过devops一体化平台来贯穿整个软件工程生命周期,连通所有工具,来实现提高发布效率和质量的目的
devops本身只是是一种思想,或者说是企业数字化转型的指导办法,主要目的是提高交付效率和质量
个人觉得如果团队技术能力强,人力充足,那么选择开源方案是最好的,毕竟自主可控是很重要的。
如果制品库本身有同步的能力,可以直接同步;如果没有,就导出、中转、导入的方式
编译依赖的外部或三方库(jar,so)等,内网如何便捷获取 很多工具都能实现,比如nexus,jfrog 安全保障如何考虑? 配合行内的安全团队和工具
关于TWT使用指南社区专家合作厂商入驻社区企业招聘投诉建议版权与免责声明联系我们 © 2024 talkwithtrend — talk with trend,talk with technologist京ICP备09031017号-30
