00:04
大家好,我是腾讯云coding的解决方案架构师终极翁,接下来我会在codings平台上给大家演示制品管理的相关功能。为了让大家看得更清晰,我会将页面适当放大一些。现在正式开始我们今天的演示内容,我们需要先创建一个样例项目,然后在这个样例项目中进行相关的演示。具体操作方法是先点击左边菜单中的项目,然后点击右上角的创建项目按钮。然后选择我们的全功能项目。我们需要给这个项目起一个名称。就叫artifan management DEMO。然后点击下方的完成创建按钮即可。接下来我们正式开始讲解扣点的制品管理功能。首先我们需要创建一个制品仓库,我们可以点击左边菜单中的制品管理,然后点击制品仓库。
01:08
再点击右上角的创建制品仓库按钮。在这个页面可以看到,Coding支持多达11种制品仓库类型,涵盖了所有主流的制品仓库类型。我们先创建一个ma类型的自营仓库。名字就叫ma DEMO。然后点击下方的确认按钮。针对每种制品,仓库扣点都会提供相应的操作指引。比如对于没文仓库扣点会帮助用户自动生成settings.xml。以及痛点XML的相关配置。用户只需要将这些自动生成的配置添加到对应的文件,就可以进行内文制品的推送和拉取了。值得一提的是,扣顶还提供了镜像源加速功能。
02:00
通过使用库所提供的镜像源,我们不再需要从境外的内网中央仓库去拉取依赖,有效避免了下载缓慢而因为网络限制而拉取依赖失败的问题,从而大大提高我们的构建速度。除了微文以外,我们还提供了规则工具的相关指引,用户可以点击左上角的这个下拉菜单来进行切换。对于ma置顶扣点还提供了页面上传功能。我们可以点击这个上传制品按钮。然后选择我们要上传的视频文件。接下来我们需要填写这个置顶的group ID ID和version的信息。如果我们需要生成这个制品对应的文件的话,我们需要将这个选项勾选上。
03:01
然后点击下方的确按钮即可。我们的制品已经上传完成,当我们点击这个制品时,就会进入到我们的一个概览页面。在E可以看到这个制品的一些详细信息。比如这个制品的权限大小。推送人和推送时间等信息。在右边还有不同的版本。值得一提的是。针对每个字C。我们的系统都会使用S1算法计算出它的哈希值,有了这个哈希值以后,我们就可以将我们下载下的制品的哈希值与coding的制品仓库中展示的哈希值进行比较。从而确保我们下载下来的制品是完整的,没有被篡改的。在文件列表页面,我们可以查看这个视频所包含的所有文件,并且可以单独下载任意一个文件。
04:06
而在属性这个页面,我们可以给这个制品添加任意的属性。比如,我们可以通过添加属性的方式记录这个制品所关联的需求,还可以记录这个制品是哪一个构建任务构建而成的,甚至还可以记录这个制品是由哪一个版本的代码构建而成的。有了这些属性以后,我们就可以快速的了解这个制品的用途以及它是如何构建而成的,从而大大增强我们排查问题和追溯源头的能力。接下来我们再来看一看扣顶制品仓库的制品扫描功能。我们可以点击左边菜单中的视频管理,然后点击视频扫描。然后点击创建扫描方案。点击下方的新建按钮。在扫描规则这里,我们可以添加一些筛选条件,比如,如果我们只关注危急和高危漏洞的话,我们就可以只勾选这两个选项。
05:07
那么我们的系统就会自动忽略中微和低微的漏洞。除了按照漏洞等级进行筛选以外,我们还可以添加漏洞白名单。比如,如果我们想要忽略某个特定的漏洞,我们只需要在这里填写该漏洞所对应的CV即可。除了扫描规则以外,扣顶的置顶扫描功能还提供了质量红线功能。通过设置质量红线,我们可以从另外一个维度去定义扫描结果。比如,我们可以点击添加质量红线,这里选择高危漏洞。这里选择总数小于化等。这里输入具体的数字。这样我们就可以实现,只要高危漏洞的个数不多于五个,我们都将扫描结果标记为成功。
06:02
在高级选项这里,我们还可以启用自动禁止下载未通过质量红线的字体。而自动禁止下载视频扫描未结束的制频功能。而在方案应用这里,我们还可以开启自动扫描功能,开启以后,满足条件的视频有新的推送时,会自动使用当前的扫描方案进行自频扫描。通过启用这三项功能,我们可以建立一个制品准入机制,确保我们所使用的所有制品都是已经进行过安全扫描,并且是没有安全问题的,从而持续提高我们系统的安全性和稳定性。接下来我们就来执行一下我们的视频扫描功能。我们可以点击左边菜单中的视频扫描。然后选中我们的方案。然后点击右上角的三个点,然后选择批量扫描。这个时候,我们可以扫描所有制品仓库内所有制品包的最新版本,也可以扫描指定制品仓库内满足指定规则的制品。
07:12
除了批量扫描以外,我们还可以点击立即扫描按钮。这个时候,我们就可以选择某个指定的制品仓库来执行我们的扫描任务。然后选择我们想要扫描的置顶。以及相应的版本。如果我们的某个视频有多个版本的话,我们还可以指定某个版本的扫描结果来跟当前选中版本的扫描结果进行对比。由于我们这里只有一个版本,所以我们就不勾选这个选项了。当我们点击立即触发按钮以后,系统就会自动生成一个流水线来执行我们的这个扫描任务。我们可以点击右边的这个查看详情按钮。
08:03
然后点击构建记录旁边的这一个链接。这就是系统为我们生成的一个智能扫描流水线。点击这个步骤就可以查看相应的日志,让我们再回到我们的视频扫描模块,看看我们的扫描结果。这就是我们的一个扫描结果,从这里可以看到,这里一共包含有17个漏洞,其中危急的漏洞有11个,到位的有五个,中位的有一个。在下的漏洞列表统计,这里我们可以看到这些漏洞的详细信息。跟国外的一些漏洞扫描工具不同,Coding所提供的漏洞信息都是以中文作为主要语言进行展示的,从而降低了用户阅读和理解这些漏洞信息的难度。
09:04
众所周知,在软件开发的整个生命周期中,制品仓库起着承上启下的桥梁作用。我们在持续集成环节构建生存的制品将会被存储到制品仓库中去,并最终在持续部署环节被使用。我们刚刚已经创建了一个ma类型的仓库,现在我们需要再创建一个dock类型的仓库。名字就叫DEMO。然后点击下方的确认按钮。接下来我们先来演示一下如何在coding平台上创建一个持续集成流水线,并将最准的构建产物推送到我们的制品仓库。我们先点击左边菜单中的持续集成,选择构建计划。
10:02
然后点击右上角的创建、构建计划。Co已经为我们准备了大量的模板,我们这是要选择的是这个叫做Java JA spring加dock的模板。为了节省时间,我们将一些非必要的步骤给关闭掉。在docker制品库这里,我们选择前面刚刚创建的那个docker仓库。因为我们还需要添加一些额外的步骤,所以我们先将这个选项取消勾选。然后点击下方的确定按钮即可。我们的流水线已经创建完成了,现在我们需要添加一些额外的步骤。第一个步骤就是使用我们的CI插件,在持续集成环节收集一些关键的原数据,并将这些原数据作为属性添加到我们的制品。
11:03
具体操作方式如下。首先找到我们这个名为构建镜像并推送到Co do制品库的阶段,点击这个阶段下面的加号按钮。选择制品库,然后选择扣制品属性设置。在右边的表单中。制品所在仓库填写。到。DEMO。字体名称填写Java杠。杠APP。自顶版本填写latest。相应的环境变量里面,这个评为docker_image version的环境变量,我们也需要改为。然后在自定义制品属性这里,我们需要用到一些CI的环境变量。
12:03
我们可以查看我们的一个。帮助文档。下面这些就是C里面内置的所有环境变量,我们可以根据我们的实际情况。将这些环境变量作为属性。添加到我们的制品中去。由于时间关系,我这里面已经准备好了一些。我们需要添加的属性。我会将它进行拷贝。然后。将其粘贴到我们的这个叫自定义自定属性这里。然后点击保存。添加完收集原数据的步骤以后,我们还需要添加一个视频扫描的步骤,具体操作方式如下。CX这个增加阶段按钮。
13:00
这个新增的阶段就叫执行视频扫描,然后点击这个加号按钮。然后在制品库这里。选择coding置顶扫描。扫描方案就选择我们前面创建的扫描方案。然后制品仓库选择我们前面创建的do。DEMO。视频选择Java spring APP。然后版本选择。然后点击保存。接下来我们就来执行一下这个流水线。我们可以点击这里来查看详细的一个构建过程。
14:11
好,我们的流水线已经执行完毕了。当我们点击某个步骤时,就可以看到其详细的一个日志信息。现在我们就去我们的制品仓库看一下,我们的刀口机箱是不是真的已经推送到我们的制品仓库。在镜像列表这里面可以看到我的镜像确实已经。被推送到我们的稻制品仓库。并且在这里我们还可以看到,我们已经执行了视频扫描,并且没有通过我们设置的一个质量红线。当我们点击进入这一个视频,就可以查看到其。
15:00
详细的信息。在镜像历史里面,我们可以看到很多命令,这些命令就是这个do镜像每一层所执行的命令。而在属性这里,我们可以看到我们通过我们的CI流水线所添加的一些。案件的数据。包括我们的代码、分支、项目名称。CI构建业务的ID。以及我们的。处罚这一次构建的人员。还有我们代码仓库的地址等等。来看一下我们的制品扫描报告。在扫描记录这里面可以看到第一条扫描记录,就是我们通过CI去触发的一次扫描。点击右边的查看详情,我们就可以查看详细的一个漏洞信息。
16:00
通过在持续集成流水线中添加收集原数据以及执行制品扫描的步骤,我们可以实现安全左移,尽早的发现制品中可能存在的安全漏洞问题,并且快速的追溯到相应的责任人,从而保证相关问题可以得到及时的修复。接下来我们再来演示一下如何使用库所提供的操作指引来进行制品库的相关操作。由于时间关系,我们在这里只选取其中的一个操作来进行演示。我们将要执行的操作就是将本地的dock镜像推送到coding的制品仓库。首先,我们需要在本地执行一个do命令。从多号拉取一个名为hello world的镜像。然后我们在我们的差不多指引这里面填入我们的一个密码。
17:05
然后点击生成个人令牌。然后拷贝这个命令。然后到我们的命令行里面去执行。好,现在我们已经登录成功。接下来我们选择推送。然后在这里面填写我们本地镜像的tag。然后这里填写我们推送到。Co视频仓库以后的一个字体名称,我们就保留原来的名字。还有。然后版本也叫。这个时候库已经为我们自动生成了两个命令,我们拷贝一下。然后分别执行。
18:09
好,我们的镜像已经推送成功了。我们可以刷新一下。大家可以看到,这就是我本地的一个dock镜像,现在已经被我推送到coding的一个dock的制品仓库。其他类型的制品仓库也是一样,我们只需要根据库所提供的操作指引来进行相关的操作即可,由于时间关系,这里就不一一演示了。这就是coding制品管理模块所有核心功能的一个简单演示,大家如果感兴趣的话,可以访问Q点的官网Q点点ne。然后点击我们的体验演示系统。我们在这里为大家准备了非常丰富的样例数据,能够帮助大家更好的了解coding平台的使用方法。
19:05
以上就是实操部分的全部内容,感谢大家的聆听,欢迎截图并微信扫码,添加hold官方小助手,加入公开课专属群聊,一起讨论技术,交流观点,了解扣点,并获取本次课程的课件以及下次课程的通知,那么让我们下次课程再见。
我来说两句