其实创建包管理平台账户没什么可说的,但最近准备在 https://www.nuget.org 上面发布产品前创建 Organization 的时候确遇到了问题。
作为一名公司员工在首次打开 NuGet 网站 (www.nuget.org) 的时候,点击【Sign in】,映入眼帘的就是【Sign in with Microsoft】,点击,下一步、下一步,我就顺利的就用公司邮箱注册了我的第一个 NuGet 的账户。
此时我准备创建一个 Organization 的时候,输入自己的公司邮箱提示这个邮箱地址已经被使用了,What ???
OK。那我就填写同事的公司邮箱地址吧。
同事在收到邮件通知后也是一步步操作,先是打开 NuGet.org,点击【Sign in with Microsoft】,然后也是需要填写自己的账户名,结果完成这一系列的操作之后,再输入他的邮件地址去注册 Organization 的时候也同样提示这个邮箱已经被使用了???什么操作!!!醉了…
随着容器化技术的普及和应用场景的增多,构建和管理多平台镜像变得越来越重要。Docker Buildx 是 Docker 官方对于 Docker CLI 的一个扩展,为 Docker 用户提供了更强大和灵活的构建功能。包括:
使用
docker buildx需要 Docker Engine 版本不低于 19.03。
其中,Docker Buildx Bake 是 Buildx 的一个子命令,也是本篇文章要重点介绍包括概念、优势、使用场景以及如何使用该功能来加速构建和管理多平台镜像。
SBOM 是软件材料清单(Software Bill of Materials)的缩写。它是一份详细记录软件构建过程中使用的所有组件、库和依赖项的清单。
SBOM 类似于产品的配方清单,它列出了构成软件应用程序的各种元素,包括开源软件组件、第三方库、框架、工具等。每个元素在 SBOM 中都会有详细的信息,如名称、版本号、许可证信息、依赖关系等。
SBOM 的目的是增加软件供应链的可见性和透明度,并提供更好的风险管理和安全性。它可以帮助软件开发者、供应商和用户了解其软件中使用的组件和依赖项,以便更好地管理潜在的漏洞、安全风险和合规性问题。通过 SBOM 用户可以识别和跟踪软件中存在的任何潜在漏洞或已知的安全问题,并及时采取相应的补救措施。
SBOM 还可以用于软件审计、合规性要求和法规遵从性等方面。一些行业标准和法规(如软件供应链安全框架(SSCF)和欧盟网络和信息安全指令(NIS指令))已经要求软件供应商提供 SBOM,以提高软件供应链的安全性和可信度。
总之,SBOM 是一份记录软件构建过程中使用的所有组件和依赖项的清单,它提供了对软件供应链的可见性,有助于管理风险、提高安全性,并满足合规性要求。
想必你也见到过很多开源项目中的 CONTRIBUTION.md 文档中通常都会让贡献者 Fork 仓库,然后做修改。
那么如果你是该开源项目中的成员是否需要 Fork 仓库进行修改呢?
以前我没有认真去想过这个问题,对于项目成员感觉 Fork 或不 Fork 好像差不多,但仔细想想 Fork 仓库与不 Fork 仓库其实是有以下几个主要的差别的:
Git 提交信息和 Git 分支命名规范是团队协作中非常重要的一部分,它们能够使代码库更加规范、易于维护和理解。
我们需要通过工具来帮助实现Git提交信息和分支创建规范,本篇将介绍如何使用 Commit Check 这个工具来验证提交信息、分支命名、提交用户名字、提交用户邮箱等是否符合规范。
更多关于Git提交信息和分支创建规范可以参看我之前发布的文章《程序员自我修养之Git提交信息和分支创建规范》,这里不再赘述。
My Windows build machine is regular reboot after Windows updates, but my Jenkins agent service on this Windows can not
start automatically even I have set the startup type to Automatic.
After some research, select “Allow service to interact with desktop” with service properties on Log On tab can fix this problem.
In service properties -> Log On -> Select “Local System account” and select the checkbox for “Allow service to interact with desktop”.
随着近些年针对软件供应链发起的攻击次数越来越多,Google 发布了一系列指南来确保软件包的完整性,目的是为了防止未经授权的代码修改影响软件供应链。
Google 的 SLSA 框架(Supply-chain Levels for Software Artifacts 软件制品的供应链级别)是通过识别 CI/CD 流水线中的问题并减小影响,为实现更安全的软件开发和部署流程提供建议。
SLSA 全名是 Supply chain Levels for Software Artifacts, or SLSA (发音“salsa”).
SLSA 是一个端到端框架,一个标准和控制的清单确保软件构建和部署过程的安全性,防止篡改源代码、构建平台以及构件仓库而产生的威胁。
任何软件供应链都可能引入漏洞,随着系统变得越来越复杂,做好最佳实践从而保证交付工件的完整性变得非常重要。如果没有一定的规范和系统发展计划,就很难应对下一次黑客攻击。
A 提交未经认证的修改
B 泄露源码仓库
C 从被修改源代码构建
D 泄露构建过程
E 使用已泄露的依赖
F 上传被修改的包
G 泄露了包仓库
H 使用已泄露的包
| 完整性威胁 | 已知例子 | SLSA 如何提供帮助 |
|---|---|---|
| A 提交未经认证的修改 | 研究人员试图通过邮件列表上的 补丁程序故意将漏洞引入 Linux 内核。 |
两人审查发现了大部分(但不是全部)漏洞。 |
| B 泄露源码仓库 | PHP:攻击者破坏了 PHP 的自托管 git 服务器并注入了两个恶意提交。 |
一个受到更好保护的源代码平台 将成为攻击者更难攻击的目标。 |
| C 从被修改源代码构建 | Webmin:攻击者修改了构建基础设施 以使用与源代码控制不匹配的源文件。 |
符合 SLSA 标准的构建服务器会生成出处, 以识别实际使用的来源,从而使消费者能够检测到此类篡改。 |
| D 泄露构建过程 | SolarWinds:攻击者破坏了构建平台 并安装了在每次构建期间注入恶意行为的植入程序。 |
更高的 SLSA 级别需要对构建平台进行更强大的安全控制, 这使得妥协和获得持久性变得更加困难。 |
| E 使用已泄露的依赖 | event-stream:攻击者添加了一个无害的依赖项,然后更新了该依赖项 以添加恶意行为。更新与提交到 GitHub 的代码不匹配(即攻击 F)。 |
递归地将 SLSA 应用于所有依赖项会阻止这个特定的向量,因为 出处会表明它不是由适当的构建器构建的,或者源不是来自 GitHub。 |
| F 上传被修改的包 | CodeCov:攻击者使用泄露的凭据将恶意工件上传到 Google Cloud Storage(GCS),用户可以从中直接下载。 |
GCS 中工件的出处表明工件不是以 预期的方式从预期的源代码库中构建的。 |
| G 泄露了包仓库 | 对包镜像的攻击:研究人员为几个流行的 包存储库运行镜像,这些镜像可能被用来提供恶意包。 |
与上面的 (F) 类似,恶意工件的来源表明它们不是 按预期构建的,也不是来自预期的源代码库。 |
| H 使用已泄露的包 | Browserify typosquatting:攻击者 上传了一个与原始名称相似的恶意包。 |
SLSA 不直接解决这种威胁,但将出处链接回源代码控制 可以启用和增强其他解决方案。 |
随着 DevOps 的流行,越来越多的开发团队正在寻找一些工具来帮助他们更好地完成任务。ChatGPT 是一款基于人工智能的自然语言处理工具,它可以用来帮助开发团队在 DevOps 任务中更加高效地工作。
本文将探讨如何在 DevOps 任务中使用 ChatGPT。
ChatGPT 是一款由 OpenAI 开发的人工智能自然语言处理工具。它可以用于许多不同的应用程序,例如语音识别、自然语言处理、文本生成等。
ChatGPT 使用深度学习技术,可以生成与输入内容相关的文本。它是一款非常强大的工具,可以帮助开发团队更加高效地工作。
在 DevOps 中,开发团队通常需要快速解决问题,并与团队成员和客户进行有效沟通。ChatGPT 可以用来帮助解决这些问题。
自动化代码审查
开发团队通常需要花费大量时间来进行代码审查。ChatGPT 可以用来自动化这个过程。它可以根据代码库中的样本代码,生成与样本代码风格相似的代码,并对新代码进行审查。这可以帮助开发团队更快地进行代码审查,并减少人为错误的可能性。
自动化测试
测试是 DevOps 中不可或缺的一部分。ChatGPT 可以用来自动化测试。它可以根据测试用例生成相应的测试代码,并对测试结果进行评估。这可以帮助开发团队更快地进行测试,并减少人为错误的可能性。
自动化部署
部署是 DevOps 中不可或缺的一部分。ChatGPT 可以用来自动化部署。它可以根据部署规则生成相应的部署代码,并对部署结果进行评估。这可以帮助开发团队更快地进行部署,并减少人为错误的可能性。
自动化文档生成
文档是 DevOps 中不可或缺的一部分。ChatGPT 可以用来自动化文档生成。它可以根据项目的代码库和测试用例生成相应的文档,并对文档的质量进行评估。这可以帮助开发团队更快地生成文档,并减少人为错误的可能性。
要使用 ChatGPT,开发团队需要进行以下步骤:
就像标题所说的,为什么我的 Jenkins Controller 越来越慢,可能是因为没有遵循 Jenkins pipeline 编写的一些最佳实践。
所以主要介绍 Jenkins pipeline 的一些最佳实践,目的是为了向 pipeline 作者和维护者展示一些他们过去可能并没有意识到的“反模式”。
我会尽量列出所有可能的 Pipeline 最佳实践,并提供一些实践中常见的具体示例。
使用 Groovy 代码连接一组操作而不是作为 pipeline 的主要功能。
换句话说,与其依赖 pipeline 功能(Groovy 或 pipeline 步骤)来推动构建过程向前发展,不如使用单个步骤(例如 sh)来完成构建的多个部分。
pipeline 随着其复杂性的增加(Groovy 代码量、使用的步骤数等),需要 controller 上的更多资源(CPU、内存、存储)。将 Pipeline 视为完成构建的工具,而不是构建的核心。
示例:使用单个 Maven 构建步骤通过其构建/测试/部署过程来驱动构建。
在 Jenkins Pipeline 中使用 shell 脚本可以通过将多个步骤合并到一个阶段来帮助简化构建。shell 脚本还允许用户添加或更新命令,而无需单独修改每个步骤或阶段。
Jenkins Pipeline 中使用 shell 脚本及其提供的好处:
When I want to implement [skip ci] or [ci skip] for Jenkins multi-branch pipeline, the existing plugin seems broken.
I have encountered a problem when I ping google.com failed and return some error like “Temporary failure in name resolution”
Inside WSL2, create or append file: /etc/wsl.conf
Put the following lines in the file in order to ensure the your DNS changes do not get blown away
sudo tee /etc/wsl.conf << EOF |
If you have a critical machine like your team’s CI server that runs on Linux, so you don’t want every members in your group to access it.
Modifying this setting /etc/security/access.conf on Linux can do it.
I commented out the access settings for TEAM A, and add some user accounts can access.
#+ : (SRV_WW_TEAM_A_CompAdmin) : ALL |
本篇是关于 C/C++ 代码格式化和静态分析检查的实践分享。
目前 C/C++ 语言的代码格式化和检查工具使用的最为广泛的是 LLVM 项目中的 Clang-Format 和 Clang-Tidy。
LLVM 项目是模块化和可重用的编译器和工具链技术的集合。
对于 C/C++ 代码格式化和静态分析检查用到是 LLVM 项目中 clang-format 和 clang-tidy,放在一起我们称它为 clang-tools。
虽然我们有了工具,但如何把工具更好的集成到我们的工作流中才是本篇重点要讨论的。
cpp-linter 组织的诞生就是为 C/C++ 代码格式化和静态分析检查提供一站式的工作流,包括:
下面介绍如何使用 clang-tools 下载工具,以及集成到工作流中。