Haut de page

JFrog, Atlassian et Valiantys : l’Alliance DevOps


Publié par
Stefanie Chernow

14 février 2018

L’article suivant a été rédigé par notre invité Rami Honig, responsable du Contenu Marketing chez JFrog.


Atlassian est devenu la référence pour toutes les entreprises qui développent des logiciels, et qui n’en sont plus à la production « artisanale », mais à la gestion d’un grand nombre d’équipes, réparties à travers toute l’entreprise. La suite Atlassian, composée de produits variés à destination des entreprises, a été testée et éprouvée à travers le monde entier. Ces produits offrent des solutions aux entreprises du monde du développement logiciel, qui aspirent à une visibilité globale de leurs processus DevOps.

Les produits proposés par JFrog complètent plusieurs des solutions Atlassian, et ce depuis déjà plusieurs années. Un précédent post sur ce blog décrit comment Valiantys a découvert la solution Artifactory de JFrog, et comment ses équipes ont commencé à l’utiliser pour packager nos produits à l’aide de Maven, aussi bien en interne, qu’aux clients à travers le monde. C’est ainsi qu’est né un partenariat entre JFrog et Valiantys. Valiantys accompagne depuis les éditeurs de logiciel et leurs équipes dans leurs projets DevOps avec les produits JFrog.

JFrog propose une suite complète de produits qui vise à accélérer les processus de développement et de distribution et qui permet de délivrer plus rapidement. Ce blog offre un tour d’horizon de la Suite JFrog et explique comment elle s’intègre à l’écosystème Atlassian.

JFrog Artifactory, un gestionnaire universel de dépôts d’artéfacts

En sa qualité de gestionnaire universel d’artéfacts, Artifactory concerne tout ce qui touche à la gestion des binaires utilisés au sein de votre entreprise : qu’il s’agisse de builds créés par vos développeurs ou votre serveur de CI/CD (notamment Atlassian Bamboo) ou d’artéfacts distants téléchargés à partir de dépôts publics sur le Web. Pour ceux pour qui « les dépôts binaires » sont un sujet encore un peu flou, nous vous proposons avant tout de regarder cette courte vidéo qui vous présente le concept en 2 minutes.

 

En tant que gestionnaire universel d’artéfacts, la solution Artifactory s’intègre au sein de n’importe quel écosystème de développement.

Voici ici les principaux arguments qui vous pousseront à essayer Artifactory :

Universel: Artifactory supporte la majeure partie des technologies de développement de développement utilisées aujourd’hui, ainsi que les outils de build, tels que Maven, Gradle et MSBuild, et tous les principaux serveurs de CI comme Atlassian Bamboo. Vous trouverez une liste complète des technologies supportées par Artifactory sur leur site web.

Automatisé : Artifactory vous permet d’automatiser vos activités via une API REST complète, qui permet d’accéder à quasiment toutes ses fonctionnalités, ou via l’interface de JFrog.

Entreprise-ready : Artifactory offre des fonctionnalités professionnelles, telles que la haute disponibilité, un stockage massivement évolutif, une réplication des dépôts extrêmement puissante, pour faciliter la gestion du disaster recovery et les activités réparties dans le monde, sans oublier le support JFrog basée sur un SLA 24h/24, 7j/7.

Un champion de l’intégration Docker : Artifactory est parfaitement compatible avec les images Docker et supporte les registres multiples Docker par instance, dont les métadonnées détaillées et les propriétés de recherche. En remontant les images Docker à travers les dépôts issus de toutes les étapes de votre cycle de développement, vous pouvez utiliser Docker en production en toute confiance.

JFrog Xray, une analyse de composants universelle

Xray opère de concert avec Artifactory pour analyser les composants logiciels et révéler un éventail de vulnérabilités possible, peu importe l’étape du cycle de vie des applications logicielles. Cette connexion avec Artifactory confère à Xray un avantage exclusif, en agrégeant autant les flux de données répertoriant les failles de sécurité aux métadonnées exhaustives stockées au sein d’Artifactory. Ceci permet de détecter les vulnérabilités, sans avoir besoin d’accéder au code source.

En outre, puisque vous essayez Artifactory, vous pouvez aussi tester Xray. Voici les points forts d’Xray dans ce cadre d’utilisation :

Universel également : Xray supporte la plupart des formats supportés par Artifactory.

Remontée des vulnérabilités à tout niveau : Xray effectue une analyse approfondie, parcourant récursivement les dépendances à n’importe quel niveau.

Indicateur d’impact d’une vulnérabilité : S’il détecte une faille de sécurité, Xray effectue une analyse d’impact et vous montre tous les composants de votre logiciel contenant le composant infecté.

Ouvert à l’intégration : En plus de sa propre base de données de composants logiciels et de failles de sécurité, Xray est livré prêt à être intégré avec les outils tels que WhiteSource, Aqua et Blackduck Hub.  De plus, en utilisant l’API de Xray, vous pouvez intégrer l’outil au sein de vos propres systèmes et flux de données.

Notifications en cas de problèmes : Xray va au-delà de la détection des vulnérabilités. Vous pouvez définir des watches (points d’observation) selon un type de composant, les licences open source qu’il utilise ou bien selon des propriétés personnalisées.

Scan en continu : Xray garantit la sécurité de vos développement car fournit d’autres alertes, grâce à son fonctionnement en continu pendant le développement, au moment du build, aet même après que vos composants logiciels aient atteint vos systèmes de production.

JFrog Bintray, une plateforme de distribution universelle

Une fois vos composants développés et analysés dans l’idée de détecter d’éventuelles vulnérabilités ou autres problèmes avec Xray, vous êtes prêt à les proposer à vos utilisateurs, aussi bien internes qu’externes. C’est là que JFrog Bintray intervient. Comme il s’agit d’une plateforme cloud, vous pouvez commencer immédiatement sans aucune configuration au préalable.

Voici les points forts de Jfrog Bintray :

Universel : Vous avez saisi l’idée depuis le début de l’article, JFrog, est universel ! Bintray supporte nativement les principaux formats de package, ce qui vous permet de travailler en toute transparence avec les outils standards de développement, de build et de déploiement.

Entreprise-ready : Vous avez l’impression d’avoir déjà entendu cela aussi ? En effet ! Bintray est la seule plateforme de distribution de logiciels qui répond aux contraintes des entreprises, concernant la sécurité, l’évolutivité, la robustesse, l’automatisation (avec l’API REST) et le besoins d’assistance. Il y a également une version Pro et une version logiciel libre gratuite.

Orienté business : Bintray fournit des rapports d’utilisation, des statistiques détaillées et des journaux d’audit vous proposant des données de téléchargement avancées.

Largement intégré avec Artifactory : Travaillant en parfaite synergie, Artifactory et Bintray forment le seul pipeline de livraison logicielle entièrement automatisé ; du développement jusqu’à la distribution.

JFrog Mission Control

Lorsqu’une société se développe, il peut s’avérer compliqué d’ajouter d’autres services Artifactory et Xray pour s’adapter à la croissance du nombre de développeurs et d’équipes DevOps, de configurer des services multiples et de les gérer d’une manière cohérente et évolutive. JFrog Mission Control vous facilite la tâche. L’outil vous procure une vue d’ensemble de vos services Artifactory et Xray, vous permettant ainsi de les gérer et les suivre, tous à travers un écran unique.

Donc, une fois que vous avez installé quelques instances d’Artifactory et de Xray, nous vous recommandons l’utilisation de Mission Control pour les raisons suivantes :

Offre un contrôle centralisé et complet : Avec Mission Control, vous pouvez configurer n’importe quel aspect de l’ensemble de vos services JFrog depuis un seul endroit.

Augmente la rapidité, l’efficacité et la cohérence : Mission Control utilise des scripts réutilisables pour configurer les services et effectuer diverses actions. L’utilisation de scripts vous permet de maintenir la cohérence entre vos services et de les configurer plus rapidement et plus précisément.

Optimise l’allocation des ressources : En fournissant une série de graphiques reflétant l’utilisation au sein de toute votre entreprise, Mission Control vous procure des informations précieuses sur la meilleure façon de répartir vos ressources.

Vous protège des catastrophes : Grâce à sa vision globale de tous vos services Artifactory et Xray, Mission Control se trouve dans une position idéale pour mettre en œuvre le disaster recovery, en un tour de main.

L’écosystème JFrog/Atlassian

Vous avez maintenant eu un aperçu de la suite JFrog. Il est donc temps de voir comment elle entre en interaction avec l’écosystème Atlassian. Le schéma ci-dessous vous montre la suite JFrog opérant avec Bamboo et Bitbucket d’Atlassian.

Pour résumer, voici le workflow de l’écosystème :

Étape 1 : Un développeur lance un build qui a besoin de nouvelles dépendances.

Étape 2 et 3 : L’outil de build résout ces dépendances à partir de dépôts locaux et distants au sein d’Artifactory.

Étape 4 : Une fois le développeur satisfait de son build local, il envoie son code pour validation au système de contrôle de version, Atlassian Bitbucket dans ce cas.

Étape 5 : Ceci déclenche le serveur de CI, Atlassian Bamboo, qui lance un build. Bamboo est étroitement intégré à Artifactory grâce au plugin Bamboo Artifactory.

Étape 6 : Le serveur de CI lance le build.

Étape 7 : Celui-ci aussi résout les dépendances d’Artifactory. Notez que les dépendances provenant de ressources distantes sont disponibles localement, grâce à la mise en cache d’Artifactory avant le lancement du build par le développeur.

Étape 8 : Une fois le build réussi, Bamboo déploie le build au sein d’Artifactory, accompagné d’une information exhaustive qui vous permet de reproduire intégralement le build à tout moment.

Étape 9 : Lorsque le build est téléchargé dans Artifactory, l’AQ peut l’annoter avec des propriétés personnalisées, selon les besoins. Par exemple, ces propriétés peuvent préciser son stade au sein du pipeline, ou encore la qualité du build. En outre, chaque fois qu’un composant est téléchargé dans Artifactory, cela déclenche une analyse par JFrog Xray. Xray va analyser le build et alerter l’administrateur si des problèmes ou des failles de sécurité sont détectées dans le build ou dans l’une de ses dépendances, en fonction des watches définis dans Xray.

Étape 10 : Si le build est approuvé, il peut désormais être déplacé dans le dépôt de distribution d’Artifactory pour un envoi direct vers JFrog Bintray, d’où il pourra être accessible aux utilisateurs finaux. En utilisant l’extension JFrog Bitbucket, vous pouvez surveiller l’intégralité du pipeline Bitbucket → Bamboo → Artifactory → Bintray.

Pendant tout ce temps, JFrog Mission Control surveille et gère l’ensemble des services Artifactory et Xray participant à cet écosystème.

Ceci n’est qu’un exemple de la manière dont vous pouvez construire votre écosystème logiciel. Même si le système de votre entreprise est différent de celui de ce scénario, la souplesse et la nature universelle de la solution JFrog lui permettent de s’intégrer à tous les systèmes et de booster votre démarche DevOps.

Vous souhaitez intégrer JFrog au sein de votre écosystème Atlassian ? Vous pouvez télécharger la présentation ici pour découvrir tous les bénéfices que la suite JFrog peut apporter à votre entreprise. Vous pouvez également contacter Valiantys pour discuter de votre projet directement.