即使在華為，同樣的困擾也并不少見。以華為終端業(yè)務(wù)為例，每一年，終端產(chǎn)品面對著全球上百個國家和地區(qū)、數(shù)萬個軟件商用版本和數(shù)百萬個過程版本的需求交付，其安全合規(guī)和高效協(xié)同無疑是一個巨大挑戰(zhàn)。例如，需要解決超大文件的跨區(qū)穩(wěn)定傳輸，傳輸速度達到300MB/s，同時具備防丟失篡改的能力；在制品量達30PB、數(shù)千萬版本迭代的龐大規(guī)模下，依舊能保障軟件的穩(wěn)定存儲與高效獲取。因此穩(wěn)定高效、安全可靠的制品倉庫，是軟件研發(fā)不可或缺的平臺。

　　2023年2月23日，華為云CodeArts Artifact制品倉庫服務(wù)將于22:00正式上線，目標(biāo)進一步賦能企業(yè)伙伴與開發(fā)者，實現(xiàn)軟件作業(yè)中可信制品生產(chǎn)與應(yīng)用活動快速落地，提高軟件交付效率與質(zhì)量。

　　制品倉庫工具是制品管理與可信的最佳選擇

　　在軟件研發(fā)中，制品倉庫用于存放由源碼編譯生成的、可運行的二進制文件。作為開發(fā)的成果性產(chǎn)物，這些二進制文件可運行于服務(wù)器上提供服務(wù)，或作為進一步集成的編譯依賴參與應(yīng)用構(gòu)建�？梢哉f，整個軟件研發(fā)作業(yè)過程與目標(biāo)的達成，都基于制品的獲取、生產(chǎn)、歸檔、應(yīng)用而運作。流暢、高效、可靠的制品倉庫，是軟件開發(fā)工具不可或缺的基礎(chǔ)。

　　當(dāng)前，不少研發(fā)組織依舊使用著較為簡易并且粗粒度的制品存儲（如搭建FTP或者網(wǎng)盤存儲等），缺乏智能的制品管理與防護體系，這也為制品的高效使用、版本可信追溯、開源漏洞治理、跨團隊團隊協(xié)作等帶來嚴(yán)峻的困難與挑戰(zhàn)，極大地拖延了研發(fā)周期并增大了出錯幾率。

　　基于華為三十多年的研發(fā)經(jīng)驗和數(shù)字化轉(zhuǎn)型實踐，華為云總結(jié)出建設(shè)與運用專業(yè)制品倉的三大實踐創(chuàng)新。

　　第一，生命周期管理，保證制品安全可靠

　　軟件開發(fā)離不開跨組織的協(xié)作，這也必然帶來代碼制品的復(fù)雜管理需求。華為公司對供應(yīng)商或者開源社區(qū)引入的制品，構(gòu)建了一系列完整的管理流程。

　　首先，制品選型時會進行下載地址驗證、軟件包的哈希校驗、數(shù)字簽名驗證與惡意軟件掃描，驗證全部通過才能入庫到公司級制品中心倉庫，保證制品來源安全可信；其次，會定期對中心倉庫進行開源漏洞和惡意軟件掃描，下線存在嚴(yán)重漏洞的制品，持續(xù)保證制品開源安全可靠。需要在開源軟件基礎(chǔ)上定制開發(fā)等場景，新生成的制品包也要重新進行惡意軟件掃描、華為哈希值和數(shù)字簽名生成；最后，在集成驗證和發(fā)布階段，構(gòu)建在封閉環(huán)境中下載驗證華為哈希值，發(fā)布時生成《開源及第三方軟件來源完整性報告》。

　　基于對開源和第三方軟件產(chǎn)品數(shù)據(jù)及流程的可信管理，華為落地了開源全生命周期運作的機制，實現(xiàn)開源軟件的來源、過程、結(jié)果可信，消除和防止開源軟件的使用風(fēng)險。

　　第二：生產(chǎn)存儲可信，讓協(xié)同開發(fā)高效敏捷

　　首先，制品倉作為二進制文件的存儲載體，其重要作用是實現(xiàn)制品文件的可信存儲，支撐軟件開發(fā)活動使用。華為公司內(nèi)部建設(shè)了制品中心倉，讓所有研發(fā)團隊可以按需、在權(quán)限范圍內(nèi)存儲與獲取制品，從而提高協(xié)作水平。此外，制品倉具備制品細(xì)粒度的生命周期管理，元數(shù)據(jù)歸檔關(guān)聯(lián)等能力，便于進行數(shù)據(jù)治理的同時實現(xiàn)制品可溯源與跟蹤，構(gòu)建可預(yù)測和重復(fù)。

　　第三：高效穩(wěn)定傳輸，提供極致性能體驗

　　依托制品倉庫中心、衛(wèi)星節(jié)點部署，實現(xiàn)就近下載，和華為對網(wǎng)絡(luò)架構(gòu)核心技術(shù)的積累，在公司內(nèi)針對遠程代理，聚合下載，多種語言（Maven、PyPI、npm等10+種）等場景突破了異地50MB/s、同地域300MB/s的速度，并且保證傳輸穩(wěn)定率到達99.99%。

　　基于以上三大核心實踐，通過持續(xù)構(gòu)建安全可信、穩(wěn)定高效的制品中心倉，實現(xiàn)制品安全可追溯，能應(yīng)對軟件供應(yīng)鏈攻擊，支撐華為產(chǎn)品和解決方案在170多個國家和地區(qū)持續(xù)安全穩(wěn)定運行，贏得全球企業(yè)客戶信任。

　　華為云CodeArts Artifact，全面守護制品質(zhì)量與安全

　　在華為的數(shù)字化轉(zhuǎn)型浪潮中，華為內(nèi)部制品倉庫工具也在不斷演進。從最初始的單機存儲、到分布式集群制品托管、再到提供制品的完整性保護與供應(yīng)鏈的安全保護。如今，制品倉庫已很好地支撐了華為ICT、云計算、終端、汽車等各個業(yè)務(wù)的高速發(fā)展，保證軟件制品能在大規(guī)模、跨地域、高復(fù)雜的全球海量市場中安全、快速交付。

　　如今，華為云CodeArts Artifact已經(jīng)高效支撐華為超過15萬用戶可信中心倉服務(wù)，管理超過20億制品包、70PB+的制品文件，日均上傳下載次數(shù)超過20億，同地域100GB版本包5分鐘下載完畢。

　　具體來看，華為云CodeArts Artifact能力體現(xiàn)在如下五個方面：

　　特性一：提供自研、安全、極致性能的制品倉，保障業(yè)務(wù)連續(xù)性不中斷

　　華為云CodeArts Artifact制品倉庫，基于云原生架構(gòu)自研，解決外界不可控因素導(dǎo)致的業(yè)務(wù)連續(xù)性問題。在安全性方面，華為云CodeArts Artifact提供多維度、細(xì)粒度的權(quán)限控制，支持企業(yè)內(nèi)不同角色對制品倉庫訪問控制的訴求。制品倉庫存儲采用物理隔離存儲方式，減少惡意盜取制品風(fēng)險，同時提供記錄用戶操作功能，保證操作可追溯。在可靠性方面，華為云CodeArts Artifact支持雙AZ容災(zāi)和跨地域容災(zāi)、API限流與降級、服務(wù)依賴和隔離、實現(xiàn)服務(wù)故障自探測以及99.99%的SLA保證。在性能方面，華為云CodeArts Artifact提供熱點文件緩存加速，增量上傳下載，大小文件充分利用緩存加速優(yōu)勢，極速傳輸，提升用戶構(gòu)建速度，突破底層存儲帶寬限制，實現(xiàn)同地域高速并發(fā)傳輸，對比開源同類產(chǎn)品超過5倍的上傳和超過10倍的下載性能提升。

　　特性二：支持開源合規(guī)分析和漏洞檢測，讓高危致命問題無處遁逃

　　近年來，開源軟件供應(yīng)鏈安全事件頻發(fā)，各行業(yè)對供應(yīng)安全解決方案有強烈訴求。例如，全球知名開源日志組件Apache Log4j被曝存在嚴(yán)重漏洞，利用門檻極低，但是造成危害極其嚴(yán)重。

　　華為云CodeArts Artifact制品安全掃描是通過特征匹配的方式，分析制品包中的開源軟件及版本，然后通過漏洞庫匹配的方式進行開源漏洞檢測。漏洞庫會實時同步NVD、CNVD、CNNVD等的漏洞數(shù)據(jù)，并且有專業(yè)團隊負(fù)責(zé)漏洞檢測技術(shù)的更新開發(fā)，不斷提升服務(wù)的檢測能力和檢測效率；制品安全掃描能覆蓋主流編程語言(C/C++、Java、Go、Python、JavaScript等)，同時提供全面、直觀的風(fēng)險匯總信息，確保客戶的服務(wù)上線之前能夠?qū)崟r感知開源高危風(fēng)險，并且能及時修復(fù)問題，避免不可估量的損失。

　　特性三：支持10+種倉庫類型，充分滿足用戶各種使用場景

　　華為云CodeArts Artifact制品倉庫支持Generic、Maven、npm、Go、PyPI、RPM、Debian、Conan、Nuget等10+種主流制品倉庫類型，滿足嵌入式、WEB應(yīng)用、移動應(yīng)用等開發(fā)場景所需，可以與本地各構(gòu)建、部署工具和云上的持續(xù)集成、持續(xù)部署無縫結(jié)合。華為云CodeArts Artifact也提供制品和元數(shù)據(jù)的完整性校驗?zāi)芰�，支持�?xì)粒度控制和按版本的細(xì)粒度包鎖定權(quán)限，保障發(fā)布軟件測試完整性，全面看護企業(yè)制品安全。

　　特性四：無縫連接第三方倉庫，提供統(tǒng)一聚合倉地址，極大提升用戶體驗和下載性能

　　針對用戶同時使用多個鏡像源或制品庫的場景，華為云CodeArts Artifact提供倉庫聚合能力，允許靈活組合多個代理倉，提供統(tǒng)一制品倉庫入口，解決用戶找不到制品包的痛點，并簡化客戶配置。

　　CodeArts Artifact新增自定義代理倉功能，允許用戶創(chuàng)建自定義代理倉庫來代理開源社區(qū)倉庫和三方依賴倉庫，通過代理倉下載文件后支持將對應(yīng)文件緩存到制品倉庫，解決用戶三方依賴下載慢痛點，實現(xiàn)下載三方依賴和本地倉庫一樣的極致體驗。

　　特性五：按文件名和checksum搜索，億級制品包秒級查詢與精準(zhǔn)定位

　　華為云CodeArts Artifact具備強大的搜索能力，依托于華為數(shù)據(jù)引擎檢索能力，支持內(nèi)部研發(fā)近百億制品文件的多維度的快速搜索。

　　CodeArts Artifact當(dāng)前覆蓋Maven、npm、Go、PyPI、RPM、Debian、Conan、Nuget多種制品類型，用戶可以通過文件名稱或HASH信息（MD5、SHA1、SHA256、SHA512等四種類型），實現(xiàn)秒級檢索定位。以此為基礎(chǔ)，CodeArts Artifact也演進出上億級別的元數(shù)據(jù)和SBOM的高效關(guān)聯(lián)查詢，以便對制品文件進行快速溯源，對比開源同類產(chǎn)品搜索性能提升超過20倍。

　　基于以上五大特性，華為云CodeArts Artifact豐富了常用語言的制品庫管理，實現(xiàn)制品開源合規(guī)掃描、制品生命周期管理、高效查看和搜索、自定義代理倉庫和聚合倉，持續(xù)為客戶提供全面、高效、可信的制品管理。

　　得益于以上特性，華為云CodeArts Artifact支撐了華為各個領(lǐng)域的業(yè)務(wù)軟件研發(fā)流程變革。例如，CodeArts Artifact制品倉庫幫助無線、終端產(chǎn)品線提升研發(fā)團隊協(xié)作，將制品獲取與共享時間耗時縮短20%，識別并且釋放50%重復(fù)、過期冗余空間。同時CodeArts Artifact制品倉庫實現(xiàn)歸檔，殺毒，溯源，分發(fā)等流程的一體化集成，使整個版本管理全流程耗時縮短40%。

　　展望未來，華為云CodeArts Artifact將不斷沉淀大型企業(yè)制品管理的最佳實踐，提升制品生命周期管理、制品安全、制品分發(fā)等核心能力，攜手國內(nèi)外客戶、伙伴以及開發(fā)者，共同提升軟件發(fā)布質(zhì)量和效率。