01. 什么是制品庫？

1）開發(fā)階段

首先開發(fā)同學(xué)在編程時，并非全部代碼都需要自己來編寫，這就導(dǎo)致了開發(fā)團隊在開發(fā)構(gòu)建階段需要使用大量來自于外部的依賴組件。如果沒有制品庫去構(gòu)建企業(yè)唯一的可信源，那么將無法保障眾多開發(fā)團隊所使用的組件來源是否都合法、安全和可信。一旦引入問題組件，對于企業(yè)業(yè)務(wù)的打擊將是巨大的。

參考21年年底，幾乎所有Java應(yīng)用都會使用的maven制品（Log4j2組件）爆發(fā)嚴(yán)重漏洞，導(dǎo)致大量國內(nèi)服務(wù)器遭國外黑客操縱，被列為最高級別漏洞：

2）開發(fā)運維交接

在開發(fā)團隊完成開發(fā)工作后，接下來需要把軟件包交接給運維同事去做測試/生產(chǎn)環(huán)境的部署。這時候沒有制品庫去做制品的版本管理和流轉(zhuǎn)處理的話，開發(fā)團隊就沒法對制品的質(zhì)量/發(fā)布狀況了如指掌，運維團隊也難以確定本次可發(fā)布的版本，這如果發(fā)生在大型IT組織內(nèi)部，將造成難以計量的生產(chǎn)事故。

3）運維部署階段

如果存在多地的生產(chǎn)環(huán)境（數(shù)據(jù)中心），運維團隊需要做生產(chǎn)發(fā)布時，需要保證多地軟件包的同步分發(fā)才能保障應(yīng)用能在各地及時上線，其中傳輸介質(zhì)是否安全可靠、版本如何保障一致、異地傳輸怎么處理、權(quán)限管理如何把關(guān)都是困擾運維團隊的難題。

在過往小規(guī)模開發(fā)時候，由于IT組織間協(xié)同問題不大，很多企業(yè)是不需要制品庫的，但當(dāng)企業(yè)研發(fā)工作上了一定規(guī)模以后，制品庫的作用就開始變得不可或缺。

就像在汽車制造要做到工業(yè)化生產(chǎn)，就必須要用到專業(yè)的倉庫去幫助企業(yè)管理不同類型的汽車在制品和成品車，從而保障從汽車生產(chǎn)直至交付客戶使用的任何一個環(huán)節(jié)都不出錯。數(shù)字化轉(zhuǎn)型的企業(yè)在軟件研發(fā)規(guī)模擴大化、或者嘗試敏捷開發(fā)轉(zhuǎn)型時，也會通過制品庫去保障軟件生產(chǎn)到交付的任何一個環(huán)節(jié)都不出錯。通過結(jié)合不同企業(yè)的業(yè)務(wù)發(fā)展情況，可以構(gòu)建不同的制品管理使用場景：

• 私服依賴庫模式下：通過構(gòu)建“制品安全掃描+DMZ隔離區(qū)+多級代理”，即可保障開發(fā)團隊對制品的合規(guī)應(yīng)用；
• 單生產(chǎn)環(huán)境模式下：通過構(gòu)建“制品安全掃描+私服依賴倉庫+項目隔離的制品倉庫+制品晉級+部署發(fā)布”，即可大幅提升企業(yè)軟件生產(chǎn)的安全性；
• 多地中心模式下：構(gòu)建“制品安全掃描+CI流水線持續(xù)集成+多節(jié)點制品管理+制品同步分發(fā)+應(yīng)用發(fā)布自動化+多地應(yīng)用部署”，即可保障企業(yè)DecSecOps轉(zhuǎn)型，在提升軟件生產(chǎn)效能的同時，確保安全生產(chǎn)。

02. 嘉為藍鯨CPack制品管理平臺

那么，同樣是制品庫，嘉為藍鯨CPack制品管理平臺與Nexus、Harbor以及某些國外商用制品庫相比，又有什么區(qū)別呢？

1）國產(chǎn)化技術(shù)

采用國產(chǎn)技術(shù)進行研發(fā)與設(shè)計，全中文操作界面降低企業(yè)工具學(xué)習(xí)成本的同時，滿足國內(nèi)企業(yè)軟件國產(chǎn)化需求，守護國內(nèi)企業(yè)軟件研發(fā)之旅更加穩(wěn)健與安全。

2）高性能驗證

與騰訊共研的國產(chǎn)制品庫，其多線程下載與高性能吞吐已經(jīng)得到了騰訊內(nèi)部數(shù)百款業(yè)務(wù)的大量驗證，高效保障國內(nèi)軟件研運業(yè)務(wù)的穩(wěn)定性。

3）企業(yè)級制品管理

CPack不僅支持 Generic、Docker、Maven、Gradle、Helm、Npm、PyPI 、Composer、RPM包等常見制品庫類型，而且支持倉庫代理功能，解決不同倉庫管理復(fù)雜的問題；通過版本管理及元數(shù)據(jù)來管理制品全生命周期；提供安全掃描與依賴分析進行風(fēng)險把控；擁有精細(xì)化的權(quán)限管控與監(jiān)控能力，保障數(shù)字資產(chǎn)安全；具備制品同步分發(fā)能力，實現(xiàn)多數(shù)據(jù)中心的數(shù)據(jù)同步；CPack支持云原生但不強制綁定云平臺，給到企業(yè)更廣泛的業(yè)務(wù)選擇可能性。

本回答由嘉為藍鯨原創(chuàng)，商業(yè)用途請聯(lián)系作者，非商業(yè)用途請注明出處。

如果您對嘉為藍鯨CPack制品管理平臺感興趣，希望了解更多產(chǎn)品內(nèi)容，歡迎去官網(wǎng)聯(lián)系嘉為藍鯨，我們將為您提供最新的產(chǎn)品材料與產(chǎn)品試用。