Enterprise DevОps: как в большой компании собирают микросервисы

Если когда-то такое пособие будет и оно не потеряет актуальность к тому времени — это вполне может стать главой про сборочный процесс.

Для контроля thirdparty зависимостей у нас сейчас используется самописная система. В отличие от JFrog XRay она

• Позволяет анализировать не только лицензии артефактов, но и соблюдение ими экспортных ограничений в страну заказчика. Речь про en.wikipedia.org/wiki/Export_Administration_Regulations
• Поддерживает npm, dep и apk пакеты в дополнение к возможностям JFrog. NPM очень важен
• Интегрирована с корпоративной JIRA
• Решает кое-какие внутренние проблемы с maven зависимостями в наших legacy продуктах (длинная история)
• Появилась на свет раньше

Система эта довольно простая и не требует к себе много внимания.

JFrog XRay для нас сейчас выглядит как перспективный security-сканер, он может искать разные уязвимости и анализировать составы собранных артефактов. Сейчас есть активность по подключению инстанса JFrog XRay к регулярным сборкам, но это ещё начинается и результатов пока нет.

Если бы XRay появился лет 5 назад, то может быть мы его и адаптировали бы под свои нужды. Думаю что это вполне возможно. Сейчас такой потребности просто нет.