制品管理，其實并不是一個嶄新的概念。

早在工業革命時期，制造業就創造性地通過將制品管理標準化，完整串聯起從原料倉儲、半成品管理、成品運輸到配送交付最后一公里的工作流與信息流。標準化管理的生產模式，大幅度提升了工業制造整體的生產質量與交付效能，延續至今日，形成了現代化的科學生產體系與生產追溯系統。

現如今，當企業紛紛談論起IT研運轉型，提升數字業務的研發質效，但由于IT組織先天的場景獨特化、工作非標化以及業務復雜化，導致企業在打造DevOps工藝體系時，容易忽略或者沒能清晰認知到，要全面實現企業級IT研運體系轉型，也需要推動軟件制品的標準化管理。

今天，作為嘉為科技的DevOps首席咨詢師，非常高興能跟大家進行關于“DevOps之制品管理最佳實踐”的課題分享。接下來，就讓我們通過三部曲來詳細剖析今日的課題，去深挖在軟件研發的“工業革命”——DevOps轉型里，制品管理會有哪些難題，怎么通過制品管理打造企業唯一可信源，以及國內大廠騰訊的制品管理最佳實踐。

*注：以下內容整理自：嘉為科技DevOps首席咨詢師 汪珺 于 嘉為藍鯨2022研運一體創新峰會的精彩分享——《DevOps之制品管理最佳實踐》。

01. 軟件研發的“工業革命”

提及軟件研發的“工業革命”，自2016年以來，隨著DevOps建設在國內的逐步深化，企業都可以放心無礙地去構建CI、CD甚至CO工藝。

但是隨著DevOps技術應用的逐漸加深，期間大量的軟件制品被源源不斷地生產出來。這里面既有不同語言產生的制品類型，諸如Java語言的Maven、JavaScript語言的NPM和Python語言的Pypi等，也有基于IT技術應用產生的制品類型，諸如Docker、Helm、RPM和Nuget等。

它們誕生自數字業務研發生命周期的每個環節里，它們存在于產品、研發、測試和運維的各個團隊中，它們既可以是無數開發共研共享的重要組件，它們也可以成為企業寶貴的私有資產。

在IT組織未具規模化或未轉型DevOps前，各開發測試團隊可能會通過分散式地建設Nexus和Harbor等開源制品管理技術棧，甚至是SVN和FTP來管理和傳輸制品。

因為此時的開發業務簡單，制品的類型不多，交付給運維的頻率也不快，由于制品管理而導致生產事故發生的概率并不高。而且工具開源免費，對企業而言也不會產生額外的購買預算。

因此在業務發展的初始階段，在很多IT管理者看來，制品管理似乎并不存在成本代價和風險管理的概念。

但隨著IT規模的擴充和業務的擴張，開源制品庫的缺陷也隨之暴露出來，造成了開發組織內部、開發與運維之間、以及運維總分部在制品使用上的大量摩擦，源源不斷地產生了軟件開發過程的“車禍現場”。

歸結下來，造成軟件開發“撞車”的原因，主要是當今國內制品管理存在三大難點：

1）第一大點在于，技術管理的混亂性

前面已經提及，在軟件開發過程中存在著不同類型的制品，而不同的制品類型，需要不同的底層管理技術。

單靠企業內各開發團隊去自主建設，既會重復建設造成資源上浪費，又會在研發資產流動上形成各種數據壁壘，這對企業整體而言就是一種慢性消耗。

同時，開源制品庫只是單純的效率工具，對企業管理而言它缺乏必須的管控能力。在實際開發場景里，PMO或者開發管理者會發現，開源制品庫既缺乏項目隔離和成員權限等組織級管理能力，也缺少倉庫管理和版本管理等精細化管理能力。

此外，制品庫作為連接開發和運維的重要技術中轉站，背后是開發維護的技術棧與運維維護的技術棧之間錯綜復雜的交互關聯，而這種錯綜復雜的關系極其容易導致開發和運維的“各自為政”。一旦進行DevOps轉型或者組織擴張，隨著軟件迭代升級速度的加快和研發運維工作交集的加深，拉錯包發布等生產風險將呈指數級上升。

2）第二大點在于，CICD工作流的紊亂性

如同現代制造業，產品從生產制造一直到交付客戶手上，中間要歷經非常多的環節，這是一個完整的工作流。

而在現有軟件研發的CICD工作流上，一旦缺乏成熟的制品管理技術在背后作支撐，就會導致CI工作流與CD工作流之間，形成業務上的隔斷與流動上的紊亂。

萬一軟件發布出現問題，企業缺乏可溯源的血緣關系圖譜，就會無法快速追蹤該軟件包相關的開發是誰、測試是誰、安全負責人是誰，以及運維是誰。生產鏈路無法追溯，責任歸屬難以辨別。

同時，在中大型企業內部，軟件版本、制品數量以及發布環境的規模也是日益膨脹，這就要求企業要根據業務發展需求，提前做好版本管理、制品清理和多節點同步分發等制品管理能力，保障好CICD工作的高效流動性。

3）第三大點在于，開源治理和可信合規的新要求

前面有提到，企業級制品管理需要建立起CICD工作流的血緣關系圖譜，才能在企業內形成有效的研發資產溯源機制。但在實際業務研發的過程中，安全隱患并不是只存在于企業內部的工作流。

危險，往往從開發決定引用外部依賴就存在了。

2021年年末，幾乎所有Java應用都會使用的maven制品（Log4j2組件）被曝嚴重漏洞，此次事件直接導致大量國內服務器遭國外黑客操縱，被列為最高級別漏洞，這是實打實帶給國內企業的一次深刻教訓。

捫心自問，萬一在此次事故中，影響波及到了自身企業的業務安全，我們能否迅速地排除哪些制品和業務存在問題、立馬停止所有問題制品使用、準確指揮開發運維解決危機，并在日后建立起開源制品的合規使用機制，轉危為安，贏得戰役，給老板交付滿意的答卷？

02.  打造企業唯一可信源

針對前面提及的國內企業制品管理三大難點，我們在此倡議，企業應盡早打造企業唯一可信源，確保數字業務交付的安全合規、過程可控與高效協同。我們也為各位提供一個可供參考的建設方案：

1）第一步，開源治理

• 建立企業內唯一可信源，各類依賴制品統一管理，集中進行安全掃描。
• 精細化項目/權限管理，可對接企業內賬號體系。
• 自研制品統一歸檔存儲，支持企業內資產共享。
• 集群方式部署，支持橫向擴展， 靈活應對高并發上傳下載。

2）第二步，CI優化

• 交付物的元數據作為質量關卡，對接審批系統，規范化審核流程。
• 可自動進行安全掃描，確保制品安全。
• 對接CI工具，實現制品自動晉級。

3）第三步，CD優化

• 元數據信息、質量報告可隨制品進行自動同步。
• 自動同步分發給多個數據中心。
• 對接CD工具，實現持續發布。

在這里，我們也想向各位分享兩個嘉為藍鯨建設的制品管理典型案例，為各位建設企業唯一可信源提供參考：

在案例一中，一所國內知名的大型金融企業出于對業務發展和業務安全的考慮，找到嘉為藍鯨，提出想要為自身打造企業唯一可信源。

針對該金融客戶重點提出的：因研發團隊/項目多導致制品管理混亂難題，以及基于業務安全性出發導致研發和投產環境間制品同步難問題。嘉為藍鯨因地制宜，打造了最適合金融客戶的制品管理解決方案：

1）搭建唯一可信源

通過企業私服的搭建，讓企業內所有開發團隊都只能使用經檢驗合規的組件，規范了企業內100+研發項目、250+制品倉庫、50w+制品數量和50TB+制品容量的制品使用。

2）制品擺渡機制

通過專門為金融客戶設置的制品擺渡方案，在保障生產安全性的同時，突破網絡隔離和物理障礙，實現制品的自動晉級與快速同步，保障生產上線的時效性與安全性。

在案例二中，國內某大型運營商出于對全國多生產中心的應用發布自動化建設考慮，希望嘉為藍鯨能同步規范優化全國多節點下的制品統管場景。

針對該運營商客戶重點提出的：因外包研發測試團隊居多導致外包團隊與企業運維總部間制品管理混亂難題，以及基于全國多節點應用發布場景下部署包統一性保障難題。嘉為藍鯨對癥下藥，不僅為該客戶打造了基于藍鯨的統一發布自動化平臺，保障了150+應用，16000+的應用發布任務，在此之上還打造了最適合運營商客戶的唯一可信源建設方案：

3）制品自動晉級

通過結合嘉為藍鯨CCI持續集成服務，實現所有研發團隊在研發過程中制品的自動化晉級與規范化管理。利用CI流水線自動在制品內寫入元數據，便于后期運維總部可根據制品元數據快速溯源制品完整生產鏈路，保障眾多外包研發團隊所提供制品的合規性與可控性

4）多節點同步機制

通過專門為多投產環境企業客戶所打造的制品同步分發服務，統一了集團內15+投產環境下，200+制品倉庫、1w+制品數量和13TB+制品容量的制品使用，成功抵御了多外包研發團隊以及集團多地生產中心的技術棧紊亂風險，保障了錯綜復雜關聯關系下的制品一致性。

03. 騰訊共研的殷實碩果

通過上述的制品管理最佳實踐以及兩個實際客戶案例分享，相信大家對于打造企業唯一可信源已經有了更深刻的認知與更多的了解，那嘉為藍鯨又是如何通過硬實力滿足眾多企業制品管理需求的呢？

這是由于嘉為藍鯨CPack制品管理平臺，是多年來嘉為藍鯨與騰訊技術共研，通過國產技術體系所打造的制品庫。CPack不僅目前已經在騰訊內部得到了100w+制品倉庫、3億+制品數量和10PB+制品容量的大規模實踐數據，同時也在積極響應國家信創號召，完成了與眾多國產技術棧的兼容適配，諸如飛騰和鯤鵬服務器，銀河麒麟和統信操作系統，以及海光CPU等等。

在制品管理能力上，CPack不僅支持 Generic、Docker、Maven等10+常見制品庫類型，而且為企業提供倉庫代理、版本管理、制品溯源、安全掃描、同步分發和權限控制等一系列制品管理能力，實現對制品全生命周期的多維度管控。

對于企業開源治理和合規可信需求，CPack提供一整套適用于企業級制品管理的安全掃描解決方案，實現“制品安全一手掌控”、“開源許可一鍵獲知”和“組件漏洞一個不落”。

針對企業內制品庫與CICD工作流的集成難題，CPack既支持獨立部署，與企業原有的Jenkins和Ansible等CICD技術棧實現良好融合，也通過深度集成CCI持續集成平臺和ADA應用發布中心等嘉為藍鯨CICD技術棧，支持企業對包括CICD工藝在內的一體化技術升級，降低企業工藝集成難度的同時，為企業業務發展打造更強大的技術支撐體系。

未來，嘉為藍鯨CPack制品管理平臺將持續深耕和不斷改進，力求更好地服務于國內企業唯一可信源的建設需求，為國內企業研發運維業務數字化轉型提供強大的制品管理技術保障。