博客家

如何将云敏捷应用到生产阶段的开发/测试中

多云/混合架构,分离但无缝

通过约翰·卡巴尼斯和詹尼·特鲁奇

7分钟阅读

在每个工作场所,大多数工作都是在最杂乱的办公桌上完成的。然而,该公司也需要一个有序的前台部门来高效运作。这与DevOps管道环境非常相似,因为创新代码的粗糙和混乱的过程最终必须产生干净的发布应用程序。

持续集成意味着开发人员每天执行许多构建,但是这些构建中很少会升级到生产存储库。开发和测试的工作环境产生了很大比例的一次性构建和元数据——不需要长期保留的混乱。

虽然开发/测试环境快速而混乱,但生产存储库需要干净而有序。因此,在JFrog平台部署中划分SDLC管道是一种非常常见的做法。

工作原理

这种独立但相互关联的环境策略是应用JFrog独特能力来帮助您进行操作的理想方式云灵活-运行管道段,无论你需要他们托管。

让我们来看看我们的几个客户是如何使用这种方式的JFrog DevOps平台部署可以跨云进行互操作,以便开发团队可以在自己的开发/测试环境中工作,并仅将可能的发布版本提升到更严格维护的Artifactory存储库集,以存储生产测试和交付。

Dev /测试环境

除了隔离之外,繁忙的开发/测试环境还必须是快速的,以保持最大的开发速度。这要求每个团队的开发/测试环境都是高可用的,并且在物理上靠近每个开发团队。

这可以通过JFrog平台部署在任何托管模式,自托管或SaaS来实现。为了获得最大的速度和安全性,许多公司选择在其现场区域数据中心维护自我管理的高可用性JFrog平台部署。地理上分布的团队通过Artifactory联合存储库共享工件、包和构建。

这些开发/测试存储库中的所有文件都被认为是短期工件,因此可以使用积极的清理策略来维护它们。

生产环境

然后可以将在dev/test中通过初始测试的开发人员构建推(提升)到单独生产环境中的存储库中进行进一步验证。

在本例中,生产环境是托管在公司选择的云提供商中的JFrog SaaS帐户。从这个常见的JFrog帐户,可以将发布版本部署到Kubernetes集群,或捆绑并分发到其他消费点。这个JFrog部署中的存储库用于长期的工件,这些工件将被就地保存和/或通过Artifactory冷工件存储进行归档。

云灵活变化

在灵活的云环境中,云和预置的角色可以在功能等效的体系结构中轻松逆转。在本例中(未显示安全点),开发/测试部署是跨不同云区域联合的SaaS帐户(如果需要,甚至在不同的云服务提供商中),而公共生产部署是自托管的本地部署。

多域安全

当软件供应链分布在多个部署中的Artifactory存储库时,您将如何在它们之间保持一致的安全态势?JFrog Xray与Artifactory的深度集成有助于对安全漏洞和许可证政策违规提供持续的警戒,并在所有领域保持一致性。端到端保护是通过关注软件开发生命周期(SDLC)中的关键点来实现的。

在开发中-将安全警戒左移至代码创建时,可节省后续补救的成本。通过将Xray作为每个开发/测试区域部署的一部分,开发人员可以在本地访问JFrog增强的cve数据库,以及组织的私人数据自定义漏洞问题对于第一个或第三方包。

通过连接x射线,JFrog IDE集成当源代码引用的开源包被Xray识别为易受攻击时,可以在编辑器中提醒开发人员。开发者也可以使用x射线按需扫描本地文件用于引用易受攻击的依赖项。通过这些解决方案和其他解决方案,开发人员可以基于风险对他们使用的组件做出决策。

你知道吗?
安全团队也可以 左移安全与开放源码软件的DMZ 并为所有站点的开发人员提供经过安全管理的可信软件包目录。

在SDLC管道中-联合存储库与富元数据共享二进制文件(建立信息)到所有站点,并可以从每个域对每个共享组件的出处和使用进行完全跟踪-包括那些由x射线扫描显示的第三方二进制文件。这种双向同步可以帮助这些多云部署作为一个单一的、全面的软件供应链,在所有站点上都可以访问和管理。与每个二进制文件共享元数据可以生成软件物料清单(SBOM)在管道中的任何点,从任何物理站点。

这些可追溯性和SBOM功能使安全和QA团队能够在应用程序通过多站点SDLC的过程中监控和修复漏洞。他们可以设置x射线策略而且x光手表标记开发/测试构建中使用的易受攻击的包,并确保在进入生产之前对其进行评估和缓解。

在生产中-每个开发/测试应用程序都提升到生产环境中的存储库,包括其元数据,通过Xray生成标准格式的SBOM。随着越来越多的公司采用美国政府标准并要求他们的软件供应商提供SBOM, SBOM是一种越来越重要的交付物。

在生产环境接收到应用程序时,开发/测试环境中启用x射线的安全警戒可能已经清除了不可接受的漏洞和许可证遵从性风险。生产存储库的x射线扫描提供了最后一轮的监督,并提醒SecOps管理员在以前验证的版本中新发现的(“零日”)漏洞,并帮助确保安全快速补救响应

你知道吗?
JFrog的集成为安全团队提供了多种方法来放大来自Xray的警报。是否通过ITSM系统(如PagerDutyServiceNow)或协作工具(例如松弛微软团队),各队可互相提醒采取行动。他们甚至可能希望自动改变创建Jira发行票从x射线跟踪下一步。


x射线警报发送到Slack

多云开发到交付

JFrog平台部署的多云或混合分段可以提供几个重要的好处:

  • 为开发团队提供一个快速、本地的工作环境。
  • 实现最大的开发速度。
  • 支持频繁的开发人员构建。
  • 允许在开发/测试环境中使用积极的清理策略。
  • 将生产环境限制为强有力的发布候选版本。
  • 有助于保持有序和可管理的生产环境。
  • 仅将存档限制为生产质量的构建和元数据。

当你对云灵活时,你可以在任何最适合你的地方托管你的开发/测试或生产系统——在JFrog管理的云帐户中,或者在云中或预置的自我管理系统中——仍然可以在JFrog平台部署之间互操作,作为一个单一的、不间断的软件供应链。

需要自己看看吗?安排演示我们会告诉你怎么做。

受欢迎的标签

试试JFrog平台

在云端或自托管

开始试验

预约演示