Сегодня мы добавили новую функцию, которую мы называем каталогами по подписке Tideelift. Каталоги приносят Управляемый открытый источник В жизни, предоставив механизм для клиентов создавать и поддерживать организацию-широкую инвентаризацию пакета открытого исходного кода, которые просто работают.
Одновременно каталоги предоставляют механизм Tidelift, работая с нашей сетью сопровождающих, до Предварительно построить Обогащенная данных инвентаризация известных-хороших, выпускает бесплатные пакеты с открытым исходным кодом, которые питаются в настроенные каталоги каждого абонента. Подписчики Tidelift получают подачу данных и обновления от Tideelift-управляемых каталогов, помогая им сохранить свои собственные каталоги высококачественными и актуальными.
Так что это что Отказ Теперь давайте вернемся к Почему Отказ
За последние несколько лет мы поговорили с сотнями организаций о том, как они управляют своими зависимостями с открытым исходным кодом. Большинство из них падают по спектру между одним из этих двух крайностей.
1. Распределенный подход (ака «Переместить быстрым»)
Разработчики в вашей организации вводят новые компоненты с открытым исходным кодом самостоятельно, без многих контролей. В конце концов, вы не хотите устанавливать RoadBlocks на пути своих разработчиков, способных развертываться как можно быстрее.
Но, как вы умножаете на сотни или тысячи приложений, каждый использует большое количество зависимостей с открытым исходным кодом, оно создает потенциал для кошмара обслуживания и безопасности. Вы часто не знаете, какие зависимости используются и о том, как они (или не являются) охраняются и поддерживаются, и кем.
Вы сопротивлялись положить в установку слишком много элементов управления, но риски становятся выше, а головные боли обслуживания ухудшаются.
2. Централизованный подход (aka «оставаться в безопасности»)
Ваша организация не может терпеть риск ухода за обслуживанием, безопасностью или лицензионной чрезвычайной ситуацией с помощью зависимости от открытой исходности. Никто не хочет быть следующей Equifax Отказ Таким образом, вы положили строгие контроли на месте. Сканирующие инструменты Флаг Проблемы с компонентами, которые вы используете, и блокируйте сборки. Одобрения для внедрения новых зависимостей занимают дни, недели или даже месяцы, чтобы плестись через бюрократию.
Конечный результат: капризные разработчики, которые не могут многое сделать. Сборки заблокированы в последнюю минуту. Сохранение нерешенных проблем, помеченных инструментами сканирования, которые никто не знает, как исправить. Тем временем разработка замедляется, хорошие разработчики обескуражены, и никто не доволен состоянием кво.
Становится ясно: сканирование само по себе недостаточно …
Мы слышим от организаций каждый день, когда сканирующие инструменты полезны для выявления вопросов, идентификация самостоятельно недостаточно без четкого способа помочь разрешить эти вопросы.
Инструменты сканирования возьмите одну проблему с открытым исходным пакетом (скажем, уязвимостью безопасности или отсутствующей лицензией) и создайте проблему для каждого приложения (и каждого разработчика), используя этот пакет. Результат: работа пропорциональна M пакетов раз в приложениях. Отель Более того, проблемы возникают поздно в жизненном цикле развития.
Поэтому мы спросили себя, что может выглядеть лучший подход? Как мы можем помочь организациям решать проблемы, которые их флаг сканеров, при этом преимущества распределенного подхода (быстрое движение) и преимущества централизованного подхода (остаются в безопасности) одновременно?
Оставаться в безопасности без жертвовой скорости развития
Самые большие и наиболее хорошо финансируемые интернет-гиганты определили необходимость быстрого движения и оставаться в безопасности и придумали решение, чтобы сделать обоими как только одновременно. Вот статья Это описывает подход Google, например.
Эти крупные организации часто создают библиотеку предварительно Vetetted, известные открытые выпуски открытых исходных пакетов. Разработчики могут использовать их без страха за блокаторами развертывания в конце в игре. Уязвимости и лицензионные проблемы могут быть рассмотрены один раз, по центру, а также сразу обращались за всей организацией.
Для работы таким образом организации должны решить несколько проблем:
- Способ решать огромное количество рассмотренных работ, особенно для первоначального принятия, когда в использовании тысячи пакетов;
- Эффективный рабочий процесс для разработчиков и рецензентов;
- Точные данные для автоматизации рабочего процесса и соответствия политике.
Этот подход занимает много времени, и люди, имеющие силу, поэтому только самые богатые технологические компании смогли себе этого позволить.
Наконец, хорошие ответы на основные вопросы о открытом исходном коре
Каталоги Tidelift предоставляют любую организацию, чтобы любая организация получила бесплатные пакеты с открытым исходным кодом без выпусков без расходов на них. Вместо этого подписка Tideelift позволяет размещать эту ответственность за Tidelift и нашу сеть независимых сопровождающих, экономящих вам время и позволять вам сосредоточиться на создании ваших приложений.
С помощью каталогов Tideelift на месте вы можете теперь окончательно отвечать на такие вопросы:
- «Могу ли я использовать этот пакет? Просто дайте мне ясную да или нет. «
- » Какой единственный источник правды, для каких пакетов и версий в порядке? «
- «Есть ли репозиторий известных хороших артефактов, которые каждый может использовать?»
- » Кто на крючке для поддержания наших компонентов с открытым исходным кодом? »
С поддержкой TIDELIFT и нашей сети независимых сопровождающих открытых источников у вас будет надежные, своевременные и часто активные исправления в руках для компонентов, на которых вы положились.
Как работают каталоги
Создайте свой первый каталог Отказ Импортные пакеты из Artifact Manager (например, jfrog Artifactory) или ваши существующие приложения «Билл материалов». Подпишитесь на ваш каталог одному или нескольким каталогам, управляемым Tideelift, поддерживаемый нашей сетью сопровождающих открытых источников, а затем добавлять свои собственные настройки.
Определите ваши стандарты Отказ Определите безопасность, соблюдение и юридические стандарты, которые вы хотите встретиться с вашими открытыми исходными комиссиями для удовлетворения, а затем достичь тех целей, создающих на рабочем месте.
Tidelift сохраняет ваш каталог Ток Отказ Tidelift, работая вместе с нашими партнерами, независимыми сопровождающими с открытым исходным кодом, будут постоянно предоставлять обновления безопасности и данные о техническом обслуживании и лицензировании, наряду с рекомендуемыми исправлениями, которые мы приходим к нашим каталогам, управляемым Tideelift.
Добавить новые пакеты Отказ У ваших разработчиков есть оптимизированный рабочий процесс, чтобы запросить новые дополнения к каталогу по мере необходимости, и ваша безопасность, лицензирование и технологические эксперты имеют упорядоченный рабочий процесс для оценки каждой проблемы только один раз, независимо от того, сколько приложений не зависит.
Создать больше каталогов. При желании служба Tidelift позволяет создавать специализированные каталоги для различных команд или сценариев развертывания, а также для общей работы во всех ваших каталогах.
Узнать больше
- Смотреть свободная демонстрация
- Просмотрите документация
- Поговорить с одним из наших Эксперты с открытым исходным кодом
Оригинал: «https://dev.to/tidelift/if-your-open-source-dependencies-are-a-mess-we-ve-got-you-introducing-catalogs-2jg5»