腾讯WePack制品库管理平台_DevOps制品管理软件

立即咨询

立即试用

商务合作

腾讯WePack制品库管理平台

腾讯WePack制品库管理平台，支持丰富的制品类型，协助开发团队快速开发、构建、发布和部署，通过统一的平台管理所有制品，持续扫描，分析制品，确保制品的安全可靠合规，并可追溯。

立即咨询

困扰：依赖制品管理混乱 icon

制品库重复建设，维护困难

通常缺乏规范的管理

可用性无法保证

开发团队容易混淆依赖来源

困扰：交付制品管理混乱 icon

CI 流水线构建的制品发往各自的测试制品库，到生产制品库的复制，缓慢易出错，直接影响生产可用性，从制品的生成到部署到生产环境，整个链条不受控。

需求：所有制品统一管理，唯一可信 icon

支持丰富的制品类型，协助开发团队快速开发、构建、发布和部署，通过统一的平台管理所有制品，持续扫描，分析制品，确保制品的安全可靠合规，并可追溯。

DevOps 与制品库关系 icon

软件开发中没有制品库和制造业中没有仓库是一样的

WePack 产品功能全景 icon

Wepack简介

Wepack 是腾讯云 2019 年推出的面向软件研发管理的企业级制品管理平台，具备多元化制品类型、元数据、制品安全扫描、制品同步、制品代理等能力，兼具集中化、精细化的制品管理能力外，提供完善的开放能力，支持与 CODING DevOps 或任意研发工具链对接，同时提供制品多环境、多地域同步支持。目前 WePack 已在腾讯内部大规模推广使用，已服务支撑包括腾讯会议、腾讯游戏、腾讯教育等团队。同时 CODING 解决方案已在众多头部金融客户落地，包括中国银联、中信银行、上海农商行、深圳农商行、中国体彩、招商证券、易方达基金、太平保险等。

制品统一管理

统一制品存储：制品推拉

制品统一管理

统一制品存储：灵活的版本管理策略

保障制品的唯一性，灵活的版本策略使制品在开发/测试/生产的流转更加有序。

支持针对仓库/包/版本设置自定义的版本策略。

制品统一管理

统一制品存储：自定义仓库清理策略

制品仓库的清理策略能够及时清理老旧版本的制品。

灵活配置的清理策略可以快速清理多余制品，释放储存空间。

WePack 支持 Docker 镜像版本物理删除且服务能正常提供读写服务，无需停止服务或服务进入只读模式。

制品统一管理

统一制品存储：制品属性管理

制品元数据（通常为制品类型的原生属性）如: packageName，version 等信息。

制品属性可描述元数据无法定义的内容，WePack 提供制品属性读写能力，在 CI 流水线中写入制品信息，或其它自定义内容。

CD部署阶段，提供制品属性的可读，保证部署交付的制品可靠性。

制品统一管理

统一制品依赖管理：安全可信的制品代理

符合安全监管要求

提供完整的访问日志方便审计

阻断有安全漏洞的开源组件

自定义添加公共 / 私有代理源

制品统一管理

统一制品分发管理：制品同步

WePack 支持多环境 / 地域系统实例分发，实现制品在不同系统、环境间的流转。

制品同步支持推送式（Push-based）和拉取式（Pull-based）同步，可结合用户实际情况制定分发策略。

制品同步的来源支持仓库同步或满足筛选条件的制品同步。

制品同步支持更新时触发，定时触发。

制品安全可信

制品安全：扫描能力

WePack 提供专业的二进制分析能力，无需源码即可以进行二进制文件 SCA 分析，对通用文件进行启发式解析，支持20+ 种文件格式，3000+内核 CVE，通过 CVE 符号特征和二进制匹配规则，帮助用户⾼效精准地识别风险。动态评估漏洞风险，可根据漏洞的实际利用成熟度(POC、EXP、自动化攻击工具)、技术影响、补丁状态等因素动态评估漏洞的实际风险，提升漏洞识别准确性，降低漏洞核实成本。

制品安全管理

制品安全：腾讯安全漏洞特征库

对接腾讯安全专业漏洞库，覆盖了 NVD，CNVD，CNNVD，常见 Linux 发行版漏洞库。

每 2 小时更新一次，本土团队支持快速响应，完全自主可控。

漏洞库更新支持在线与离线两种模式，离线更新无需停机，可持续不间断执行扫描。

制品安全管理

制品安全：开源许可证风险

开发者在使用开源软件的过程中需注意许可证是否存在违规风险。

制品扫描提供对开源组件许可证的扫描，展示许可证风险等级、来源、约束与关联组件等信息。

可结合制品扫描方案，将开源许可证风险配置在质量红线中，阻断拦截。

制品安全管理

制品安全：依赖分析

依赖分析能够摸清制品组件情况，追溯制品原始供应链，以避免制品安全漏洞的风险。

通过 WePack 制品扫描能力对制品进行成分分析，获取组件名称、版本等信息，关联制品库进行溯源。

制品安全管理

制品安全：质量红线

WePack 提供自定义的扫描方案，用户可根据制品安全需求，制定扫描漏洞数量、开源许可证风险数量的质量红线。

若勾选“自动禁止下载未过质量红线的制品”，系统将会在扫描后自动禁用有问题制品。

制品安全管理

可信交付：一致性校验

制品在传输过程中会面临被篡改、损坏的风险。

WePack 支持制品 checksums 计算。提供推送制品一致性的校验能力。

制品安全管理

可信交付：制品晋级

制品WePack 支持自定义制品成熟度（等级）及晋级规则，灵活配置制品晋级规则并应用到团队 / 项目 / 仓库。

WePack 制品晋级提供给用户手动、Open API、CI 插件三种晋级方式，轻松易操作。

制品安全管理

可信交付：制品授信清单

DevSecOps 安全左移理念，WePack 提供制品准入 / 准出的授信清单检查能力，并支持灵活配置应用范围。

避免开发人员拉取使用不安全的依赖而引发制品安全问题。

通过匹配制品名称、版本，系统会自动禁止上传、下载不符合授信规则的制品。

企业级特性

账号体系

WePack 支持绑定第三方服务：企业微信，AD / LDAP，飞书，为用户带来更便捷的账号应用体系。

企业级特性

精细化权限管控：RBAC

项目空间保证资源隔离，通过项目/系统级制品自治管理。

RBAC 权限模型精细化权限体系支持配置不同角色细粒度操作权限，包含：push、pull等操作。

0 成本管理新项目、临时项目、外包项目制品。

企业级特性

精细化权限管控：多层级资源管理

WePack 支持针对命名空间内、系统内和公开三种级别的仓库权限，通过用户组控制命名空间内每一个成员的权限。

制品仓库/制品操作权限由仓库权限和用户组权限共同决定。

企业级特性

安全管理

WePack 具备⾼安全性，提供用户会话管理查询、结束；审计日志筛选、查询、导出；IP 白名单管理控制。

开放服务能力

开放能力

WePack 平台具备丰富的开放特性，即支持通过 OpenAPI 和第三方系统进行接口通讯，也可以支持通过 ServiceHook 和第三方系统进行消息和事件通讯。

WePack 提供 Jekins CI 插件，打通DevOps 上下游工作及信息流转，帮助用户更⾼效地完成任务。

开放服务能力

服务能力：可信源/私服迁移

支持maven、Pypi、迁移至制品库

支持Nexus 3版本全量制品迁移

支持本地进行NPM的迁移

Jfrog 的迁移会依赖于 CLI 或通过RestFul API

通过 Jfrog GraphQL 获取元数据关系并映射导入

支持针对入库制品进行全量安全扫描

配置安全规则针对不符合安全要求的制品或依赖包自动设置禁止下载

开放服务能力

服务能力：技术架构

编程语言Go、react，typescript

两层 Nginx 分发流量

服务间通信采用gRPC

数据库存储使用MariaDB

MiniO 存储制品数据

WePack 私有化部署架构 icon

服务能力：部署架构

平台部署分为Kubernetes 管理节点、无状态业务服务节点、有状态存储服务节点、持续集成节点等几个部分，各个部分能够根据业务需要动态扩容。Kubernetes 管理节点：可以部署在运维管控区，由运维人员通过kubectl负责集群的管理与常用的运维维护动作。无状态业务服务：部署 WePack 业务服务，可以根据用户数和业务量动态扩容。有状态存储服务：部署有状态的存储和中间件等基础资源，支持使用客户已有的存储和中间件实例。存储资源：按需进行配置持久化需要的存储资源。

50000+ 优秀企业的信赖之选，让高效研发触手可及 icon

实践 – 利用制品库代理简化仓库的访问 icon

• 支持多种类型仓库的代理

• 仅代理有限的可信任的仓库

• 可同时代理多个同类型仓库，包括内部仓库

• 制品库的消费者只需要配置一个地址就可以访问多个仓库

• 代理仓库可缓存被访问过的制品，直到符合清除策略时被清除

实践 – 制品晋级

不同成熟度的制品分库存放，配置不同的访问策略。通过固化晋级标准，自动化完成晋级行为。

实践 - 多数据中心同步 icon

平台基于 Kubernetes 方式部署，平台服务均为无状态服务，针对pull与push ⾼并发场景通过横向扩容增加对应服务的副本数。通过制品库本地配置 SSD 固态硬盘增加 IO 读写能力。通过负载均衡流量切分，切分内网流量与公网的流量。支持多环境 / 地域系统实例分发，实现制品在不同系统、环境间的流转。制品同步支持推送式（Push-based）和拉取式（Pull-based）同步，可结合实际情况制定分发策略。制品同步一致性及防篡改能力。制品同步需要⾼读写，建议使用SSD进行加强 IO 读写能力。通过制品同步/分发的能力，进行标记生产属性的制品进行同步/分发到不同区域生产环境中进行验证。生产环境独立的部署制品仓库进行支撑开发测试环境单项同步过来的制品。

实践 - 供应链安全 icon

集中管理第三方制品的来源，扫描漏洞及开源协议。

持续更新的漏洞库确保及时发现漏洞并做出响应。

实时分析应用的软件物料清单，提供清晰的安全可见性，降低合规性风险

实践 – 追溯制品的历史 icon

• 通过制品的元数据记录，并与其它DevOps工具配合，追溯制品的来源、质量信息。

• 通过commit id，可在代码仓库找到对应的源代码版本。

• 通过build number，可在CI构建历史中找到对应的构建信息。

• 通过测试报告和扫描报告，可查看当时的质量信息。

• 通过版本，可在项目协同工具中找到此版本的变更信息(release notes)。

• 通过部署信息，追踪制品被部署到某个环境的时间。

案例1-某游戏客户的游戏出海之路 icon

游戏出海发布：游戏发布需要较⾼的实时性，并且需要多个地域联合发布。采用同一中心的做法，会收到网络波动的原因，导致多区域直接的发布评率不一致。如果采用多中心的做法，又很难统一的管理与审核。

游戏制品的全球同步与分发 icon

案例2-某金融企业生态云 icon

某金融企业生态云可信软件源：通过 WePack 制品扫描能力，协助客户建立可信软件源，清除存在威胁的软件依赖，并逐步向某金融企业生态云合作伙伴输出自建可信软件源的能力。

存储的制品数
客户在研发测试环境使用的公开制品，主要包含 maven / npm / pypi / rpm 类型

拉取次数
银联软件源上被拉取使用的次数

已成功阻断有威胁的制品数
经过制品扫描后发现不符合质量红线的制品，将有威胁的制品剔除

解决方案

统一依赖管理

统一入口代理所有依赖，方便研发人员直接使用，并且便于统一管理依赖源安全。

统一制品管理

在项目内部，通过制品晋级对不同成熟度的制品进行管理。

统一分发

开测区与生产区存在环境隔离，通过制品同步的方式将制品统一分发到不同环境中。

产品推荐

得帆云DeMDM主数据管理平台

得帆云DeMDM主数据管理平台，提供多域、多组织、多层级主数据管理解决方案，满足复杂架构的集团级企业用户的主数据管理；同一平台实现个性主数据模型定义，以及独立的主数据管理流程，审批架构；提供跨组织人员、用户管理，统一构建审批流程。在主数据平台中管理的不同主数据域之间的数据可以灵活引用；形成数据之间完整、复杂的关系视图。

免费试用

查看详情