李威-助力研发效能提升：下一代制品库的演进与优化

李威高级解决方案架构师 李威JFrog中国高级解决方案架构师，DevOps教练，GDevOps、TGO鲲鹏会金牌讲师。《软件研发效能权威指南》联合作者曾就职于京东、烽火等互联网企业及传统企业，十余年一线开发及运维经验，带领团队从零到一实践DevOps转型。 01当前制品库的挑战与限制，对软件研发效能的影响 目录Content 下一代制品库的演进趋势 02 03下一代制品库在面对未来交付场景的架构设计及性能优化 04成功案例与最佳实践 01 当前制品库的挑战与限制，对软件研发效能的影响 软件研发效能的定义 软件研发效能是指在软件开发过程中，团队或组织能够高效地完成项目目标的能力。它衡量了团队在给定时间、资源和需求下，交付高质量软件的能力。 制品信息黑盒的问题 软件供应链安全对组织绩效的影响 •81%的受访者同意“我们正在努力监测来自公共来源的关于我们使用的软件及其第三方组件中可能存在的漏洞的信息”。•56%的受访者同意："我公司现有的软件安全流程拖累了我所从事的应用程序的开发过程"。 Google2022年DevOps加速状态报告表明：开发者普遍接受需要防范软件供应链的问题，但是近半数用户认为现有的安全流程及工具拖累了开发过程 2 0 2 3 D e v O p s国 际 峰 会暨B i z D e v O p s企 业 峰 会·北 京 站 02 下一代制品库的演进趋势 建设下一代可信制品库的原则 建设单一可信源 没有统一管理，就无法治理。单一可信源是企业内部单一的，合规地存放所有软件的仓库 包括war包，Docker镜像，zip包等，以及第三方开源组件或者商业软件的授权版本和软件物料清单（SBOM） 制品元数据收集与展示 通过元数据数据收集及展示保障软件质量可信、可靠 •统一展示DevOps工具链所有数据•质量度量数据作为质量门禁，服务于CICD•作为提供制品晋级依据•流式软件交付模式的基础 元数据，制品的质量门禁 软件制品晋级，分成熟度管理制品 发布制品自动筛选 2 0 2 3 D e v O p s国 际 峰 会暨B i z D e v O p s企 业 峰 会·北 京 站 安全左移 VSCode Eclipse 正反向依赖收集 风险阻断 上下文分析 o它有什么作用？Ø发现应用程序漏洞的可利用性Ø根据安全专家的建议进行补救Ø识别可访问的路径、适用的配置……Ø支持容器制品中进行扫描 ~50% 超高危漏洞被证实是对应用程序无影响的 o它为什么如此重要？Ø帮助开发人员专注于修复可利用的漏洞Ø提高修复效率，消除无用功 下一代制品库在面对未来交付场景的架构设计及性能优化 下一代制品库部署架构 现代软件交付的趋势 高并发场景下，支持p2p下载加速 IOTOTA制品分发 成功案例与最佳实践 记录制品流转元数据，实现质量可信 制品晋级案例 基于审批的制品晋级案例 车企软件端到端交付 DevOps时代社区荣誉出品 了解更多关于JFrog，欢迎来JFrog展位咨询