# 快速入门

点击 制品库默认进入到半成品库页面,默认有初始化企业内共用的File通用库、Maven库、Docker库、Helm库、Composer库、NPM库、Pypi、Conan库开箱即用。 半成品库和成品库是成对出现的。

An image

# 快速使用 File 制品库

点击半成品库中的 File通用库,默认展示使用方法,通用库可以直接在页面上进行上传、下载、删除以及发布到对应的成品库。也可以通过命令行在终端进项操作。

An image

# 命令方式使用制品库介绍

通过curl命令上传制品,填写待上传问价完整路径、制品名、制品版本、用户名、密码(也可以用个人令牌) An image 命令执行成功,制品进入file类型的半成品库 An image 通过curl命令发布制品,填写需要发布的制品名、制品版本、用户名、密码(也可以用个人令牌) An image 命令执行成功,制品从半成品库发布到相同库名的成品库中 An image 下载制品,填写本地存储的文件地址、需要下载的版本(如果不填版本,默认下载最新版本)、制品名、用户名、密码(也可以用个人令牌) An image

# 平台内使用制品库介绍

  • 点击——>包列表,进入包列表页面。

An image

  • 点击——>新建包,弹出新建包页面。

An image

  • 新建包test。包名为必填项,点击 ——>确定,test包创建成功。

An image

  • test包创建成功,点击——>“+”显示上传新版本,点击 ——>上传新版本。

An image

  • 弹出上传版本页面。选择上传的制品和版本号。

An image

  • 点击——>确定,半成品上传成功。

  • 将半成品库中版本“1.0.0”发布到成品库中,点击——>发布为成品。可以看到右侧操作栏的按钮依次为查看制品详情、发布为成品、复制命令下载和页面点击下载。

An image

  • 弹出发布到成品库。点击——>确定,成品库发布成功。

An image

  • 半成品库设置和成品库设置相似,均可以操作成员设置,制品设置,基本设置。

An image

  • 成品库设置成品版本是否允许覆盖,制品保存的时间。

An image

  • 查看发布到成品库的成品。

    点击——>成品库——>File通用库——>“+”,刚刚发布的版本,会把包带过来。

An image

也可以直接在成品库上传成品。在成品库中点击上传新版本即可。

# 镜像库

# 镜像源设置

每种不同的制品镜像源可以设置多个镜像源。只有系统管理员可以对企业镜像源进行设置。此操作对普通用户不可见。

# 镜像库工作原理

当镜像库收到制品包下载请求时,如果发现制品包已经存在,则直接响应客户请求,将制品包返回。如制品包不存在,则会从配置的镜像源中,由上而下逐个去寻找并下载制品缓存起来,直到找到为止。如果最终找不到,则会返回用户,该制品不存在。

# 镜像清理

本制品管理系统内置了对镜像库的智能清理策略,可以设置长期无人使用的镜像超时自动清理。

# 镜像库权限

因为镜像库的作用只是代理外网公共镜像,故镜像库未开放写入权限,只开放了读权限。企业内所有用户均可从镜像库下载制品。

# 其他类型制品库

其他类型制品库均按照标准用法即可

# 权限与角色

对于“保密”类型制品库,用户分为:管理员和成员。管理员具有该制品库一切权限,成员具有制品库的读写权限。企业其他成员无法访问该制品库。 对于“企业内公开”类型制品库: 只需要设置管理员,管理员具有该制品库一切权限。企业其他用户都可以读写此制品库内制品。 对于成品库:则只有管理员可删除制品。成员不具有删除权限。

# 制品扫描

目前平台支持对Docker制品进行漏洞分析,具体使用说明如下:

# 配置扫描方案

设置制品扫描方案。点击【制品库】-【制品扫描】菜单,该页面包含扫描方案和扫描任务列表,
An image 点击【新建扫描方案】按钮
An image 展示新建扫描方案页面,配置相关的名称、说明、扫描规则、漏洞过滤列表、组件过滤列表、扫描超时时间,点击【确定】后,扫描方案保存成功。
An image 配置信息说明:
1、扫描规则:指的是制品扫描使用的是国际著名的CVE安全漏洞库,您可以设置扫描风险等级和需要排除的规则 2、漏洞过滤:可以设置不需要扫描的扫描规则,填写漏洞ID,不区分大小写。
3、组件过滤:可以设置不需要扫描的组件,填写格式:[组件名]:[版本号],不区分大小写。
4、扫描超时时间:制品扫描如果超过设置的时间,扫描失败。默认超时时间为15分钟。
扫描方案列表,展示的是当前企业下所有制品扫描方案。企业下的制品扫描,企业用户均可查看和使用。具体如何发起制品扫描,有具体的制品库设置决定。
An image

# 制品库扫描设置

点击进入任意一个制品库(目前只支持Docker制品扫描),找到【制品扫描】菜单。
An image 该页面可以配置当前制品库制品扫描的扫描方式、扫描方案、质量门禁。
具体配置项说明:
1、扫描方式:指的是在何时对制品进行质量分析。目前制品库支持入库扫描、下载前扫描、手动扫描。
2、扫描方案:指定使用哪个制品扫描方案来扫描制品库中的制品。
3、质量门禁:设置具体门禁要求,如果不符合门禁要求,可以根据具体的门禁策略,对制品进行处理。
在制品库的【角色设置】页,查看具体角色是否有【查看】【执行】扫描结果的权限。
An image

# 发起制品扫描

制品库支持入库扫描、下载前扫描、手动扫描,三种方式。入口和下载前扫描均属于自动扫描,不需要用户有任何操作。
手动扫描则是用在制品库的【包列表】,找到具体制品版本,点击【发起扫描】,开始进行制品扫描。
An image

# 查看制品扫描结果

在制品扫描结束后,可以在两个地方查看扫描结果。制品库的版本列表和制品扫描任务列表。
在制品库的版本列表,可以查看扫描的问题数量、质量门禁、制品状态信息。
An image
点击制品扫描概览信息或者点击【查看扫描报告】按钮,跳转查看扫描结果详情。
An image

也可以在扫描任务列表查看扫描结果。 点击【制品库】-【制品扫描】菜单,进入【扫描任务】列表页。
An image 可以根据ID、包名称、制品名称等信息进行任务筛选。

# 查看扫描报告

通过扫描任务列表或者制品版本的【查看扫描报告】按钮,进入扫描报告详情页。
An image 扫描报告有四部分组成:基本信息、概要、漏洞列表、扫描方案快照。
1、基本信息:包括当前扫描任务的制品信息、触发时间、触发人、使用的扫描方案的信息。
2、概要信息:包括质量门禁信息、漏洞总数、阻塞漏洞数、严重漏洞数、警告漏洞数、提示漏洞数。
3、漏洞列表:包括漏洞筛选、漏洞列表、匹配规则详情、漏洞操作。
4、扫描方案快照:展示执行任务时,所使用的扫描方案配置信息。
An image