嘉為科技作為騰訊藍(lán)鯨智云一級技術(shù)合作伙伴，旗下品牌嘉為藍(lán)鯨結(jié)合業(yè)內(nèi)先進(jìn)的騰訊藍(lán)鯨PaaS技術(shù)架構(gòu)、融合嘉為科技近20年研運服務(wù)經(jīng)驗打造，包含：一站式研發(fā)效能解決方案DevOps 、自動化與智能化運維解決方案AIOps、一體化運維訂閱服務(wù)WeOps，為客戶提供IT研發(fā)、運維、運營全領(lǐng)域的產(chǎn)品與服務(wù)，幫助政企客戶提升數(shù)字化水平，帶動和支撐組織向智能運營轉(zhuǎn)型。近年來成為騰訊藍(lán)鯨開源社區(qū)的主要貢獻(xiàn)方之一。

近年來，隨著諸如Apache Log4j2遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2021-44832）等軟件供應(yīng)鏈安全事件的頻發(fā)，開源治理、軟件供應(yīng)鏈安全和制品管理等概念逐步成為國內(nèi)企業(yè)關(guān)注的焦點。

為共筑軟件供應(yīng)鏈安全生態(tài)，積極應(yīng)對不斷出現(xiàn)的軟件供應(yīng)鏈安全治理難題，在2022年12月13日舉辦的3SCON軟件供應(yīng)鏈安全大會上，中國信息通信研究院（簡稱“中國信通院”）正式公開發(fā)布了軟件供應(yīng)鏈廠商及產(chǎn)品名錄。

騰訊藍(lán)鯨與一級技術(shù)合作伙伴嘉為科技，共研的國產(chǎn)制品庫——嘉為藍(lán)鯨CPack制品管理平臺，憑借先進(jìn)的國產(chǎn)技術(shù)方案和優(yōu)異的制品管理技術(shù)，成為唯一一家入選中國信通院軟件供應(yīng)鏈產(chǎn)品名錄的制品管理平臺，致力于為國內(nèi)企業(yè)打造唯一可信源，建設(shè)軟件研發(fā)安全可信生態(tài)，共同守衛(wèi)我國軟件供應(yīng)鏈的安全體系。

01. 一款騰訊自用、國產(chǎn)自研的企業(yè)級制品庫

嘉為藍(lán)鯨CPack制品管理平臺，作為一款支持億量級制品規(guī)模、可多節(jié)點同步分發(fā)的企業(yè)級制品庫，基于國產(chǎn)自研技術(shù)體系為企業(yè)軟件供應(yīng)鏈打造軟件制品的安全治理能力。

CPack不僅支持Docker、Maven、Pypi等10+常見制品庫類型，而且為企業(yè)提供倉庫代理、版本管理、制品溯源、安全掃描、同步分發(fā)和權(quán)限控制等制品安全管控能力，致力于為國內(nèi)企業(yè)打造唯一可信源，保障軟件供應(yīng)鏈的安全可控。

1）全量制品掃描

通過安全掃描多維度檢測生產(chǎn)過程中的各類型包，有效檢測制品中存在的漏洞與不合規(guī)許可證，提前阻斷問題制品的使用，提高安全管控能力,實現(xiàn)“制品安全 一手掌控”、“組件漏洞 一個不落”以及“開源許可 一鍵獲知”。

2）打造企業(yè)私服

通過對外部開源組件進(jìn)行集中管理、安全掃描、規(guī)范化審批流程和準(zhǔn)入規(guī)則，管控包括外包團(tuán)隊在內(nèi)的開發(fā)組織只能使用經(jīng)檢驗合格的開源組件，大幅降低企業(yè)濫用外部第三方開源組件的安全風(fēng)險，為企業(yè)軟件供應(yīng)鏈治理打造唯一的企業(yè)可信源。

3）制品統(tǒng)一管理

通過與嘉為藍(lán)鯨CICD工藝體系深度集成以及支持插件式對接Jenkins等開源CI工具，以自動化手段和標(biāo)準(zhǔn)化方式來管理企業(yè)在開發(fā)、測試、部署和發(fā)布等環(huán)節(jié)產(chǎn)生的所有制品包，在打通企業(yè)CICD工作流的同時，保證企業(yè)軟件研發(fā)全生命周期內(nèi)軟件制品的一致性與可控性。

4）制品同步分發(fā)

尤其適用于大型企業(yè)多地中心統(tǒng)一管理軟件制品,作為集群之間、節(jié)點之間分發(fā)不同類型軟件制品的通用平臺，解決跨節(jié)點文件共享困難的問題，實現(xiàn)軟件供應(yīng)中跨集群軟件制品高效共享的需求，保障多地生產(chǎn)中心應(yīng)用同步上線的安全性和穩(wěn)定性。

02. 為什么選擇CPack？

1）支持億量級制品規(guī)模

通過騰訊自用、技術(shù)共研的國產(chǎn)技術(shù)體系，打造出中國的企業(yè)級制品庫，強(qiáng)有力地支撐著騰訊內(nèi)部數(shù)百款業(yè)務(wù)、10w+制品倉庫、8億+制品數(shù)量和20PB+制品容量的制品管理。

CPack滿足國內(nèi)企業(yè)軟件國產(chǎn)化需求的同時，持續(xù)兼容適配麒麟操作系統(tǒng)、統(tǒng)信操作系統(tǒng)、飛騰服務(wù)器和海光CPU等國產(chǎn)技術(shù)棧，打破了國內(nèi)企業(yè)因長期受制于國外制品管理技術(shù)，而導(dǎo)致研發(fā)管理“卡脖子”的現(xiàn)狀，守護(hù)國內(nèi)企業(yè)軟件研發(fā)之旅的穩(wěn)健與安全。

2）全中文操作界面

打破原有Nexus和Harbor等制品管理工具的全英操作局面，實現(xiàn)國內(nèi)用戶開箱即用和快速上手。

3）自帶安全管控能力

不僅支持手動寫入或自動收集制品元數(shù)據(jù)，實現(xiàn)軟件研發(fā)全生命周期的過程管控和歷史回溯，同時為軟件供應(yīng)鏈提供安全掃描、權(quán)限控制以及審計日志等安全治理能力。

4）更輕便的產(chǎn)品工藝

CPack支持云原生但不強(qiáng)制綁定云平臺，給到企業(yè)客戶更廣泛的業(yè)務(wù)選擇性；出自騰訊內(nèi)部制品管理技術(shù)最佳實踐，但無需帶上騰訊藍(lán)鯨PaaS平臺，輕量級SaaS讓制品管理更隨心。

5）開放包容的技術(shù)生態(tài)

深度集成嘉為藍(lán)鯨DevOps工藝體系，并支持插件式快速對接Jenkins等開源CICD工具，打通研發(fā)運維工作流。Open API支持對接第三方安全工具及漏洞庫，實現(xiàn)企業(yè)安全能力的深層應(yīng)用。

03. CPack持續(xù)助力國內(nèi)企業(yè)實現(xiàn)DevSecOps

當(dāng)前CPack已在金融、運營商、交通、能源和制造等眾多國內(nèi)企業(yè)成功落地：

在某大型金融企業(yè)內(nèi)，通過CPack搭建唯一可信源，讓企業(yè)內(nèi)所有開發(fā)團(tuán)隊都只能使用經(jīng)檢驗合規(guī)的組件，規(guī)范了企業(yè)內(nèi)100+研發(fā)項目、250+制品倉庫、50w+制品數(shù)量和50TB+制品容量的制品使用。

在某大型運營商企業(yè)內(nèi)，通過使用CPack多投產(chǎn)環(huán)境的制品同步分發(fā)服務(wù)，統(tǒng)一了集團(tuán)內(nèi)15+投產(chǎn)環(huán)境下，200+制品倉庫、1w+制品數(shù)量和13TB+制品容量的制品使用，成功抵御了多外包研發(fā)團(tuán)隊以及集團(tuán)多地生產(chǎn)中心的技術(shù)棧紊亂風(fēng)險，保障了錯綜復(fù)雜關(guān)聯(lián)關(guān)系下的制品一致性。

未來CPack將持續(xù)深耕軟件供應(yīng)鏈安全治理領(lǐng)域，為更多企業(yè)的軟件研發(fā)帶來明顯的質(zhì)量管控與效能提升！