技术文章

您如何加载应用程序将取决于您对应用程序总库存的粗略了解。 

手动上线

使用IQ Server 用户界面 (UI) 的组织和应用程序菜单添加应用程序。  

• 建议用于数量有限（<50）的应用

• 非常适合测试和试点团队

• 不是有效的长期战略

• 对于第三方软件和遗留代码来说很常见

• 应用程序 ID 和名称必须是唯一的

• 如果您已经有完整的列表，请考虑使用入门脚本

潜在的陷阱：

• 手动添加应用程序可能会很慢。

• 不扩展。

• 容易犯错误： 

• 使用构建配置模板时避免重复应用程序 ID 

• 嘈杂的通知和错误的指标 

• 可能会违反补救豁免 

自动创建应用程序

配置IQ 服务器以允许在扫描期间使用未使用的 PublicID 时自动添加应用程序。

• 应用程序会自动添加到默认组织。

• 可以在 UI 中配置默认组织。

• 推荐用于需要随着时间的推移而加入的应用程序。

• 应用程序类别需要手动设置。

建议：

• 指派某人在控股组织中进行审查

• 分配应用程序类别

• 转移到正确的组织

• 将应用程序重命名为更容易识别的名称

• 不建议用于机密应用程序。

陷阱：

• 很容易无意中创建新的应用程序

• 目前无法追踪扫描源

• 只有一个默认组织

• 扫描可能没有正确的策略

• 访问控制可能未正确设置

• 通知可能发送给错误的人

资源：

• 自动创建应用程序

通过源代码控制管理器进行入职

Easy SCM Onboarding 允许您通过 UI 中的点击菜单选择要加入的应用程序。

• 扫描是针对源代码运行的。

• 扫描程序将查找依赖锁文件和二进制文件。

• 寻找常见的特定于语言的模式。

• 查看分析文档以了解详细信息。  

陷阱：

• 清单扫描不提供对您构建的应用程序的完整风险分析。

• 在构建过程中仍然需要添加完整的扫描。

入门脚本（REST API）

使用REST API预先或实时配置应用程序。

• 直接集成到您的应用程序管理系统中

• 推荐用于大量应用程序或自助服务增长

• 使用 ID、应用程序名称和现有组匹配您的内部系统

• 生命周期许可证仅限启动 5000 个应用程序

• 这是为了防止脚本使系统过载

• 与您的客户团队讨论以提高上限

陷阱：

• 不要在生产中测试入门脚本；从备份开始。

• 重大部署很难回滚或纠正。

• 在生产之前在开发环境中全面测试脚本。

• 监控系统的不规则性和稳定性。

资源：

• 入职组织 - python 脚本 

• 添加应用程序 - python 脚本 

配置即代码工具

• 配置即代码是 DevOps 原则，将配置资源视为版本化工件。

• 配置被签入源代码管理、分配版本并与版本化构建相关联。

• 此配置即代码工具 是一个 Python 脚本，可将IQ Server 的配置捕获为 JSON。

• 此 JSON 应用于其他 IQ Server 实例以设置相同的配置。

• 可以  iq-config-as-code/onboarding/templates 帮助新用户准备他们的第一个 IQ Server。
  
  

Sonatype 不正式支持该工具。

建议

• 请确保对已抓取的 .json 文件进行适当的版本控制。

• 调试是有限的，因此很容易出错。

• 如果您不熟悉脚本编写，请避免编辑模板 .json 文件。

• 在连接到产品实例之前从测试环境开始。

陷阱

• 该命令会使用目标 .json 文件中的数据完全覆盖 IQ Server 的配置。 apply 

• 应用新配置时要小心，并刮掉现有配置作为备份。

• 该工具很容易传播错误配置。

• 对抓取的配置进行版本控制，以便您可以跟踪更改并从错误配置中恢复。

其他资源：