Artifactory - 二进制文件的审计信息

Question

我们正在寻找一个 Gitlab / Jenkins - Artifactory CI 设置。出现了一个关于审计信息的查询。

Artifactory 中有哪些构建审计跟踪可用于向审计团队展示在 Gitlan / Jenkins 上运行的构建与存储在 Artifactory 存储库中的特定二进制文件之间的链接？ Artifactory 是否会持续跟踪 Gitlab CI / Jenkins 推送给它的二进制文件的信息？

我希望我能够正确地构建我的查询。请随时询问我是否需要进一步澄清。

Answer 1

Artifactory 中可能不提供这种审计跟踪，您需要根据您的组织要求跨工具构建此traceability。如果 Jenkins 是 CI 引擎并负责创建构建，在作业配置中你会发现可以创建一个 version 参数。您可以为每个build artifact 创建一个非常具体的版本，例如branchname+jenkinsjobname+timestamp，您将获得一个输出文件concatenatedstring_timestamp.jar，这将被推送到Artifactory，其中包含一个特定的非人类user，该文件已经集成在两个应用程序。在 Artifactory 中，您将能够看到哪个用户推送了该工件。当审核团队在 Artifactory 中看到此 concatenatedstring 时，他们还将能够看到带有 timestamp 的唯一 branchname 和 jenkins job name，根据审核要求提供 traceability。

这个tracebility需要在我们不使用同一个工具进行所有操作的场景中构建。例如，如果您在同一产品中将 GitLab 本身用于 SCM、CI 和工件管理，则 traceability 即为 OOTB。