使用GitLab CI/CD和JFrog完成您的软件供应链
软件不仅仅是建筑规范。开发软件并确保质量构建需要管理一个完整的软件供应链。和许多人在一起安全威胁在整个供应链中,管理您交付给客户的软件的每一个方面,包括如何制作软件的整个过程,对您的组织至关重要。这意味着设置你的软件发布周期,包括DevOps和安全最佳实践。挑战在于将此作为软件交付的一个无缝部分的连续流来执行。
如果您已经在使用GitLab作为您的CI工作流引擎,您可能知道这并不是交付停止的地方。您需要通过持续的安全性、来源、软件分发、边缘管理等来完成软件供应链反馈循环。您可以通过将您的GitLab进程与JFrog平台提供完整的软件供应链管理解决方案。
JFrog模板库的GitLab CI/CD
的JFrog GitLab模板库可以轻松地将JFrog平台集成和设置到您现有的GitLab CI/CD中,并实现完整的软件供应链。
模板库包含了流行的构建工具的现成模板,如:。net、go、Gradle、Maven、npm、NuGet、Pip、Pipenv和Yarn。每个模板都提供了用于设置安全性和构建集成的JFrog功能。
例如,“审计”模板为您提供了扫描源代码以查找安全漏洞和许可证遵从性问题的能力。
默认值:image: maven:3.8.6-openjdk-11-slim#对于Windows代理:#- remote: "https://releases.jfrog.io/artifactory/jfrog-cli/gitlab/v2/.setup-jfrog-windows。jfrog-maven-audit: script: - !jf mvn-config——repo-resolve-releases $ARTIFACTORY_VIRTUAL_RELEASE_REPO——repo-resolve-snapshots $ARTIFACTORY_VIRTUAL_SNAPSHOT_REPO #审计Maven项目- jf Audit after_script: # Cleanup - !cleanup_jfrog、脚本)| 了解更多关于扫描源文件中的依赖项> |
如何使用模板
将模板复制到您的GitLab存储库中,根据需要进行修改,设置GitLab CI/CD变量(如安装部分),就可以运行管道了!
它是如何工作的
每个模板开头的include语句将一个初始化脚本添加到您的管道中,使您能够快速方便地访问许多JFrog平台特性。引用.setup_jfrog管道作业中的脚本执行以下操作:
- 安装JFrog CLI
- 配置JFrog CLI与JFrog平台一起工作
- 设置构建名称和构建编号值,以允许将构建信息发布到Artifactory
- 可选地将默认Docker注册表替换为人工Docker注册表
读一读客户自己的描述将JFrog CLI与他们的Gitlab CI无缝集成.
发现JFrog平台
无论您使用的是容器、包、库还是任何其他类型的二进制文件,JFrog Artifactory你覆盖了吗?作为一个行业标准,Artifactory充当了DevOps环境的骨干,为软件开发团队提供了一个集中的地方来存储、管理和分发二进制工件。
完全集成使用流行的CI/CD工具(包括GitLab CI), Artifactory可以轻松地在一个单一的、集中的、通用的存储库中管理所有二进制工件,消除了为不同类型的二进制文件使用多个工具的需要,简化了软件发布过程并降低了错误风险。至关重要的是,Artifactory是为规模而建的。
当谈到安全管理软件工件的生命周期时,您需要一个真正的供应链管理解决方案,该解决方案关注于在生产中运行的资产——软件二进制文件。
独特的JFrog平台功能包括代理和缓存第三方软件包,即使在远程位置也可以实现一致,可靠的访问,以及对30多种软件包类型的企业级支持,多站点支持,连续安全监控的重点是源代码和二进制文件、漏洞长列表的优先级、可操作的策略,以及可以依赖的云中有保证的正常运行时间SLA。
更多开发人员工具
我们很高兴为开发人员提供JFrog模板库和以下开源工具:
- JFrog Frogbot在Git中自动扫描拉取请求安全漏洞。
- JFrog IDE集成开发人员插件和扩展,包括VS Code, IntelliJ IDEA, Eclipse等,使开发人员能够在开发阶段早期发现和修复安全漏洞。
- JFrog构建集成开发者插件和扩展,包括JenkinsCI, GitHub Actions, Azure DevOps, Bamboo等,使开发者能够通过集成到CI系统。
一如既往,我们很乐意提供帮助!的JFrog GitLab模板库是开源的;你的贡献总是受欢迎的。提交您的pull请求,并通过开放问题与我们联系。
