Capital One的JFrog:在企业DevOps规模上批准、合规的软件分发

兼容并准备好软件分发

确定的软件库需要:

1. 安全合规——通过x光的OSS安全漏洞以及执照检查，以及Capital One广泛的进一步合规检查。
2. 经审查和批准用于生产——确保只有在更高的环境中使用经过批准的工件。
3. Drift-resistant:第一资本不惜重金消除漂移-通过确保所有的产品版本和环境使用只有这些批准的工件。
4. 分布式到运行时基础设施边缘在全球范围内快速部署，并在最后一英里轻松消费。
5. 保持新鲜和最新-验证所有工件最近都通过了遵从性检查，并且没有过时。
6. 紧密集成他们的CI/CD管道和自动合规检查和流程。

生产批准的软件库的最佳实践

在他的演讲中，Wayne分享了Capital One利用的JFrog平台的功能- - - - - -Artifactory，x光，JFrog分布,混合边缘-连同他们的体系结构和API调用他们使用(利用JFrog的广泛REST API， AQL和元数据功能)，以实现以下完全自动化的所有构建的端到端流程:

1. JFrog Distribution创建了一个包含所有需要分发的工件的发布包(BOM)。
2. Capital One创建了一个习俗认证API作为分销工作流程的一部分。这个API调用自定义规则而且自动审批门- - - - - -确定工件/构建是否被批准使用。
3. 所有CI/CD管道自动触发这些规则用于验证每个工件/构建。认证检查可以与其他管道步骤并行进行——例如性能/其他测试。
4. 一旦一个神器被认证了，它就被认证了自动发布到分布式边缘节点，并验证工件已经到达目的地并可供下载。
5. 经认证的文物生产边缘节点然后由部署自动化管道拉动。
6. 确保精心策划的工件保持在被批准的状态，第一资本公司自动化了即将到期的旧的工件。这是自动完成的添加自定义元数据到认证过程中的所有工件，这些工件指出了它们何时到期并需要再次进行重新认证。
7. 自动化流程将从Edge节点删除过期的工件，通知工件所有者，或运行新的构建周期以生成通过认证流程的新工件。它们还检测何时有新版本的库可用，并更新旧版本。

看看Capital One的演讲吧

观看swampUP谈话的录音，了解您如何也可以利用Capital One共享的模式创建自己的权威软件库为您的组织服务。