00:00
嗨,我是文今内,课程是coding制品管理实践。coding制品管理包括制品仓库和制品扫描两个部分。在制品仓库中,制品仓库是用于管理原代码编译后的构建产物。特点制品仓库支持do meon hem m PM等常见制品库的类型,同时支持与原代码协同进行版本化控制。coding制品库主要提供新建制品库、发送包到制品库和拉取制品库等能力。在制品扫描中,制频扫描是指不需要再访问源代码的情况下,通过扫描二进制组件及其元数据,找到组件中存在的漏洞。在可体制与扫描中,提供创建扫描方案、执行制品扫描和分析漏洞信息等能力。了解了这些制品仓库与制品扫描的基本能力之后,接下来我们进行实践。首先创建一个制品库,这里面我们选择创建多可类型的制品库,将其命名为DV,将权限设置为项目内。
01:00
不仅提供项目内、团队内和公开的制品库权限范围,团队可以根据实际情况进行选择,我们也可以开启代理。开启代理之后,当私有仓库找不到对应的镜像时,会去代理中拉取对应的镜像返回给用户。选择确认仓库创建之后,我们选择推送的命令将其复制。复制了推送到仓库的多可命令后,接下来我们将通过区域集成进行制品的制作,并将制品推送到de制品库中。这里面我们在流程配置中选择构建制品,选择命令执行校脚本,通过do Bill的方式进行制品的制作,Do be的干T加上我们仓库的地址,将package和version换为docker镜像名和T镜像名我们设置为q more pro,大T我们定义为0.0.1,采用当前上下文点击保存。接下来我们制作完多个镜像后。
02:00
将其推送到扣顶制品库,因此我们在设置推送镜像到制品库,我们可以选择插件的方式,选择制品库多可镜像上传,选择最新的插件版本即可。我们在多里面打了镜像的名称为qmo product0.01版本仓库我们选择de,我们设置完成之后点击保存,选择立即构建,可以查看经天制作的过程是根据我们do file的内容描述进行构建的,构建成功之后会将镜像推送到coding制品仓库中,可以看到镜像已经推送完成,可以整个构建的已经成功了。我们回到制品仓库,可以查看到戴夫仓库中已经存在qmo product制品,并且版本为0.01,可以查看到制品的相关的属性。Q点提供丰富的言数据信息,包括推送的信息,镜像的历史等等,这些丰富的言数据信息为。
03:00
丰富制品生命周期管理提供的有利的支撑,我们也可以去添加属性,通过添加属性可以跟踪整个制品的生产过程,了解了制品的管理。那么接下来我们看一下制品扫描,首先我们需要创建一个制品扫描方案,设置漏洞的规则以及对应的质量红线。设置质量红线之后,我们可以禁止扫描未结束的制品,或者禁止未通过质量红线的制品等,也可以看到我们质量红线的设置的一些标准,这边设置的标准比较严格,都是不允许有危急漏洞。设置扫描方案之后,我们选择仓库和对应的制品进行触发,做完后我们可以查看详情,看到扫描中的详细的些过程内容,目前正在扫描中,扫描结束后可以看到对应的漏洞的类型以及对应的数量,例如危机有三个,高危的有九个,中位15个,低位的有两个,我们可以针对这漏洞可以进行一个修复,同时我们也是基于内建质量的原则,可以在CI中通过。
04:00
制品扫描插件的能力实现在持续集成流水线中集成制品扫描的插件,实现制品安全等内件创建一个阶段,当我们制作制品之后,选择制品扫描,点击添加插件,选择制品库,选择coding制品扫描插件,选择扫描方案对应的仓库以及qmo product0.01版本,选择质量红线不通过时,构建失败,开启质量门禁,并且通过流水线去内建制品质量设置完成之后点击保存,选择立即构建。因为我们设置的都是不允许有危级漏洞和高危漏洞,但现在我们扫描中可以发现微级漏洞和高危漏洞都大于零,因此可以预测在持续集成流水线中内线质量是不通过的。所以通过对比可以发现,目前我们的扫出来的漏洞不满足质量文件的要求啊,扫描后我们可以发现制频扫描失败了。失败的原因是因为标。
05:00
To FS is true,因为值超过我们的阈值失败了,因为我们扫描出来的V级漏洞、高危漏洞都是大于零的,超过了我们设置了零的阈值,因此持有集成失败了。以上就是本节课的内容,感谢聆听,再见。
我来说两句