立即咨询

电话咨询

微信咨询

立即试用
商务合作

腾讯WePack制品库管理平台

腾讯WePack制品库管理平台,支持丰富的制品类型,协助开发团队快速开发、构建、发布和部署,通过统一的平台管理所有制品,持续扫描,分析制品,确保制品的安全可靠合规,并可追溯。
立即咨询
数字化产品开发者工具腾讯WePack制品库管理平台
icon困扰:依赖制品管理混乱icon
 
制品库重复建设,维护困难
通常缺乏规范的管理
可用性无法保证
开发团队容易混淆依赖来源
icon困扰:交付制品管理混乱icon

CI 流水线构建的制品发往各自的测试制品库,到生产制品库的复制,缓慢易出错,直接影响生产可用性,从制品的生成到部署到生产环境,整个链条不受控。

icon需求:所有制品统一管理,唯一可信icon

支持丰富的制品类型,协助开发团队快速开发、构建、发布和部署,通过统一的平台管理所有制品,持续扫描,分析制品,确保制品的安全可靠合规,并可追溯。

iconDevOps 与制品库关系icon

软件开发中没有制品库和制造业中没有仓库是一样的

iconWePack 产品功能全景icon
Wepack简介
Wepack 是腾讯云 2019 年推出的面向软件研发管理的企业级制品管理平台,具备多元化制品类型、元数据、制品安全扫描、制品同步、制品代理等能力,兼具集中化、精细化的制品管理能力外,提供完善的开放能力,支持与 CODING DevOps 或任意研发工具链对接,同时提供制品多环境、多地域同步支持。目前 WePack 已在腾讯内部大规模推广使用,已服务支撑包括腾讯会议、腾讯游戏、腾讯教育等团队。同时 CODING 解决方案已在众多头部金融客户落地,包括中国银联、中信银行、上海农商行、深圳农商行、中国体彩、招商证券、易方达基金、太平保险等。
icon制品统一管理icon

统一制品存储:制品推拉

icon制品统一管理icon
统一制品存储:灵活的版本管理策略
保障制品的唯一性,灵活的版本策略使制品在开发/测试/生产的流转更加有序。
支持针对仓库/包/版本设置自定义的版本策略。
icon制品统一管理icon
统一制品存储:自定义仓库清理策略
制品仓库的清理策略能够及时清理老旧版本的制品。
灵活配置的清理策略可以快速清理多余制品,释放储存空间。
WePack 支持 Docker 镜像版本物理删除且服务能正常提供读写服务,无需停止服务或服务进入只读模式。
icon制品统一管理icon
统一制品存储:制品属性管理
制品元数据(通常为制品类型的原生属性)如: packageName,version 等信息。
制品属性可描述元数据无法定义的内容,WePack 提供制品属性读写能力, 在 CI 流水线中写入制品信息,或其它自定义内容。
CD部署阶段,提供制品属性的可读,保证部署交付的制品可靠性。
icon制品统一管理icon
统一制品依赖管理:安全可信的制品代理
符合安全监管要求
提供完整的访问日志方便审计
阻断有安全漏洞的开源组件
自定义添加公共 / 私有代理源
icon制品统一管理icon
统一制品分发管理:制品同步
WePack 支持多环境 / 地域系统实例分发,实现制品在不同系统、环境间的流转。
制品同步支持推送式(Push-based)和拉取式(Pull-based)同步,可结合用户实际情况制定分发策略。
制品同步的来源支持仓库同步或满足筛选条件的制品同步。
制品同步支持更新时触发,定时触发。
icon制品安全可信icon
制品安全:扫描能力
WePack 提供专业的二进制分析能力,无需源码即可以进行二进制文件 SCA 分析,对通用文件进行启发式解析,支持20+ 种文件格式,3000+内核 CVE,通过 CVE 符号特征和二进制匹配规则,帮助用户⾼效精准地识别风险。 动态评估漏洞风险,可根据漏洞的实际利用成熟度(POC、EXP、自动化攻击工具)、技术影响、补丁状态等因素动态评估漏洞的实际风险,提升漏洞识别准确性, 降低漏洞核实成本。
icon制品安全管理icon
制品安全:腾讯安全漏洞特征库
对接腾讯安全专业漏洞库,覆盖了 NVD,CNVD,CNNVD,常见 Linux 发行版漏洞库。
每 2 小时更新一次,本土团队支持快速响应,完全自主可控。
漏洞库更新支持在线与离线两种模式,离线更新无需停机,可持续不间断执行扫描。
icon制品安全管理icon
制品安全:开源许可证风险
开发者在使用开源软件的过程中需注意许可证是否存在违规风险。
制品扫描提供对开源组件许可证的扫描,展示许可证风险等级、来源、约束与关联组件等信息。
可结合制品扫描方案,将开源许可证风险配置在质量红线中,阻断拦截。
icon制品安全管理icon
制品安全:依赖分析
依赖分析能够摸清制品组件情况,追溯制品原始供应链,以避免制品安全漏洞的风险。
通过 WePack 制品扫描能力对制品进行成分分析,获取组件名称、版本等信息,关联制品库进行溯源。
icon制品安全管理icon
制品安全:质量红线
WePack 提供自定义的扫描方案,用户可根据制品安全需求,制定扫描漏洞数量、开源许可证风险数量的质量红线。
若勾选“自动禁止下载未过质量红线的制品”,系统将会在扫描后自动禁用有问题制品。
icon制品安全管理icon
可信交付:一致性校验
制品在传输过程中会面临被篡改、损坏的风险。
WePack 支持制品 checksums 计算。 提供推送制品一致性的校验能力。
icon制品安全管理icon
可信交付:制品晋级
制品WePack 支持自定义制品成熟度(等级)及晋级规则,灵活配置制品晋级规则并应用到团队 / 项目 / 仓库。
WePack 制品晋级提供给用户手动、Open API、CI 插件三种晋级方式,轻松易操作。
icon制品安全管理icon
可信交付:制品授信清单
DevSecOps 安全左移理念,WePack 提供制品准入 / 准出的授信清单检查能力,并支持灵活配置应用范围。
避免开发人员拉取使用不安全的依赖而引发制品安全问题。
通过匹配制品名称、版本,系统会自动禁止上传、下载不符合授信规则的制品。
icon企业级特性icon
账号体系
WePack 支持绑定第三方服务:企业微信,AD / LDAP,飞书,为用户带来更便捷的账号应用体系。
icon企业级特性icon
精细化权限管控:RBAC
项目空间保证资源隔离,通过项目/系统级制品自治管理。
RBAC 权限模型精细化权限体系支持配置不同角色细粒度操作权限,包含:push、pull等操作。
0 成本管理新项目、临时项目、外包项目制品。
icon企业级特性icon
精细化权限管控:多层级资源管理
WePack 支持针对命名空间内、系统内和公开三种级别的仓库权限,通过用户组控制命名空间内每一个成员的权限。
制品仓库/制品操作权限由仓库权限和用户组权限共同决定。
icon企业级特性icon
安全管理
WePack 具备⾼安全性,提供用户会话管理查询、结束;审计日志筛选、查询、导出;IP 白名单管理控制。
icon开放服务能力icon
开放能力
WePack 平台具备丰富的开放特性,即支持通过 OpenAPI 和第三方系统进行接口通讯,也可以支持通过 ServiceHook 和第三方系统进行消息和事件通讯。
WePack 提供 Jekins CI 插件,打通DevOps 上下游工作及信息流转,帮助用户更⾼效地完成任务。
icon开放服务能力icon
服务能力:可信源/私服迁移
支持maven、Pypi、迁移至制品库
支持Nexus 3版本全量制品迁移
支持本地进行NPM的迁移
Jfrog 的迁移会依赖于 CLI 或 通过RestFul API
通过 Jfrog GraphQL 获取元数据关系并映射导入
支持针对入库制品进行全量安全扫描
配置安全规则针对不符合安全要求的制品或依赖包自动设置禁止下载
icon开放服务能力icon
服务能力:技术架构
编程语言Go、react,typescript
两层 Nginx 分发流量
服务间通信采用gRPC
数据库存储使用MariaDB
MiniO 存储制品数据
iconWePack 私有化部署架构icon
服务能力:部署架构
平台部署分为Kubernetes 管理节点、无状态业务服务节点、有状态存储服务节点、持续集成节点等几个部分,各个部分能够根据业务需要动态扩容。Kubernetes 管理节点:可以部署在运维管控区,由运维人员通过kubectl负责集群的管理与常用的运维维护动作。无状态业务服务:部署 WePack 业务服务,可以根据用户数和业务量动态扩容。有状态存储服务:部署有状态的存储和中间件等基础资源,支持使用客户已有的存储和中间件实例。存储资源:按需进行配置持久化需要的存储资源。
icon50000+ 优秀企业的信赖之选,让高效研发触手可及icon
icon实践 – 利用制品库代理简化仓库的访问icon
 
• 支持多种类型仓库的代理
• 仅代理有限的可信任的仓库
• 可同时代理多个同类型仓库,包括内部仓库
• 制品库的消费者只需要配置一个地址就可以访问多个仓库
• 代理仓库可缓存被访问过的制品,直到符合清除策略时被清除
icon实践 – 制品晋级icon

不同成熟度的制品分库存放,配置不同的访问策略。通过固化晋级标准,自动化完成晋级行为。

icon实践 - 多数据中心同步icon
平台基于 Kubernetes 方式部署,平台服务均为无状态服务,针对pull与push ⾼并发场景通过横向扩容增加对应服务的副本数。通过制品库本地配置 SSD 固态硬盘增加 IO 读写能力。通过负载均衡流量切分,切分内网流量与公网的流量。支持多环境 / 地域系统实例分发,实现制品在不同系统、环境间的流转。制品同步支持推送式(Push-based)和拉取式(Pull-based)同步,可结合实际情况制定分发策略。制品同步一致性及防篡改能力。制品同步需要⾼读写,建议使用SSD进行加强 IO 读写能力。通过制品同步/分发的能力,进行标记生产属性的制品进行同步/分发到不同区域生产环境中进行验证。生产环境独立的部署制品仓库进行支撑开发测试环境单项同步过来的制品。
icon实践 - 供应链安全icon
 
集中管理第三方制品的来源,扫描漏洞及开源协议。
持续更新的漏洞库确保及时发现漏洞并做出响应。
实时分析应用的软件物料清单,提供清晰的安全可见性,降低合规性风险
icon实践 – 追溯制品的历史icon
 
• 通过制品的元数据记录,并与其它DevOps工具配合,追溯制品的来源、质量信息。
• 通过commit id,可在代码仓库找到对应的源代码版本。
• 通过build number,可在CI构建历史中找到对应的构建信息。
• 通过测试报告和扫描报告,可查看当时的质量信息。
• 通过版本,可在项目协同工具中找到此版本的变更信息(release notes)
• 通过部署信息,追踪制品被部署到某个环境的时间。
icon案例1-某游戏客户的游戏出海之路icon

游戏出海发布:游戏发布需要较⾼的实时性,并且需要多个地域联合发布。采用同一中心的做法,会收到网络波动的原因,导致多区域直接的发布评率不一致。如果采用多中心的做法,又很难统一的管理与审核。

icon游戏制品的全球同步与分发icon
icon案例2-某金融企业生态云icon

某金融企业生态云可信软件源:通过 WePack 制品扫描能力,协助客户建立可信软件源,清除存在威胁的软件依赖,并逐步向某金融企业生态云合作伙伴输出自建可信软件源的能力。

存储的制品数
客户在研发测试环境使用的公开制品,主要包含 maven / npm / pypi / rpm 类型
拉取次数
银联软件源上被拉取使用的次数
已成功阻断有威胁的制品数
经过制品扫描后发现不符合质量红线的制品,将有威胁的制品剔除
icon解决方案icon
统一依赖管理
统一入口代理所有依赖,方便研发人员直接使用,并且便于统一管理依赖源安全。
统一制品管理
在项目内部,通过制品晋级对不同成熟度的制品进行管理。
统一分发
开测区与生产区存在环境隔离,通过制品同步的方式将制品统一分发到不同环境中。

产品推荐

金智维RPA期货行业解决方案
金智维RPA期货行业解决方案通过机器人流程自动化技术优化交易执行、风险管理、报表生成等关键业务流程。它能够提高交易效率,减少人为错误,确保数据处理的准确性和合规性,同时降低运营成本,增强期货公司的市场竞争力。
免费试用
查看详情
快递100企业快递收发管理系统
快递100企业快递收发管理系统,10年快递服务经验,专业的服务平台、服务体系,丰富的产品功能,全场景满足企业快递管理服务需求。寄件管理、到件管理、企业管理、财务管理四大版本功能,可根据企业需求选择。
免费试用
查看详情
光联世纪SD-WAN海外加速解决方案
光联世纪 SD-WAN 海外加速解决方案,专业企业安全组网加速与零信任安全办公网络服务。聚焦海外业务场景,通过 SD-WAN 技术实现跨境网络智能优化、流量加速及安全组网,支持全球节点高效互联与应用加速。助力企业构建稳定低时延的海外通信链路,是企业出海场景中网络加速与安全办公的优选方案。
免费试用
查看详情
移动应用安全网关
指掌易移动应用安全网关(MAG)是基于指掌易对移动安全的整体认识,在“Zero-Trust(零信任)”原则指导下,面向移动办公场景提供的轻量化网关产品,为最终用户提供无感知的安全保护,同时简化企业对移动化的运维和管理。
免费试用
查看详情