阿里巴巴|爆测一周!22年必看最细致代码托管工具测评( 四 )


在基础托管的能力上 , 大家都是 Git 的托管 , 功能大差不差 , 都能满足企业诉求 。 然而企业的研发生产过程光代码托管一个工具肯定不够 , 所有有了 DevOps 工具链这么一说 , 从 DevOps 工具链完整性上来看 , 对比如下:

总结:
Gitlab 扩展性很强 , 能够灵活定制 , 有技术能力、能保障网络速度的企业可以选择它; 基于阿里的研发管理经验 , Codeup 的一站式产品能力更加成熟 , 能够支持大中小各类型的企业分别在复杂、简单的场景下按需使用其产品模块 , 组装出适合企业自己的研发流程规范; 腾讯 Coding 相对来说功能较简单 , 对复杂的研发发布过程支持会弱一些 , 例如CICD原生支持的组件少、构建没有容器化、资源权限管理粒度较粗 , 比较适合十几人的小企业或团队使用; 安全性
安全是个严肃的话题 , 特别是对于企业来说 , 代码可是关乎身家性命的重要资产 。 造成安全风险的原因有很多:
有可能是不经意使用了不安全的开源软件包 , 例如前一阵子全网轰动的 Log4j 漏洞事件; 也可能是使用了不安全的开源工具 , 例如国家信息安全漏洞共享平台发布的《关于SonarQube系统存在未授权访问漏洞的安全公告》(CNTA-2021-0031) , 对SonarQube系统未授权访问漏洞(CNVD-2021-84502)作出预警 , 攻击者利用该漏洞 , 可在未授权的情况下获取代码的敏感数据; 还有可能是人为操作不当造成 , 例如某公司程序员把代码不经任何处理上传到了 Github 的公共代码库 , 泄露了 IP 和用户名密码 , 导致黑客对整个数据库进行了拖库 。安全问题十面埋伏 , 代码托管平台给企业提供什么保护呢?在这一块咱们不看国外的产品 , 他们安不安全我也拿不准 , 就看看国内这两家在安全方面做的怎么样吧 。
Codeup 和 CODING 都是大厂背书 , 阿里和腾讯基于自己的云安全产品 , 平台基础设施的安全性相信还是比较有保障的 。 例如 Codeup 对外宣称的安全白皮书里明确说明了基础设置安全、云效应用安全、数据存储安全、数据传输安全等是如何实现的:

对于国内云 SaaS 的托管平台来说 , 阿里云 Codeup 对安全性提的最多 , 官网上也是把安全放在第一位进行宣传 , 可能和它宣传的企业级代码托管平台定位有关 , 安全性是它最看重的能力 。


在平台基础设施安全方面 , 两家大厂都有保障 。 Codeup 还支持用户自己可以定时将代码自动备份到自己的OSS , 不过这OSS得你自己买存储空间 。 Codeup 还支持了所谓仓库加密的能力 , 号称能把存储在云端的代码都加密存储 , 阿里的工作人员和黑客都没法破译存储在云上的数据代码 , 第一次看到这功能还挺有意思 。
总结: 从安全性来说 , 基础安全能力两家都不错 , 其中阿里云云效 Codeup 看上去更加全面一些 。
数据度量
企业度量大概率会和人员绩效挂钩 , 企业场景的度量就得 全面、准确、可定制。 在数据度量这件事上 , 阿里和腾讯最近都铆足了劲在建设 。
腾讯 CODING 刚上了「研发度量」模块 , 还在Beta阶段 , 可以自定义卡片和视图 , 数据包括三类:
提交次数 增减代码量 合并请求 视图包括团队和个人视图 , 目前看内容还太简单 , 期待下后续的发展:

阿里云 Codeup 也开放了「效能洞察」模块 , 里面的数据维度看起来是多了不少 , 简单看了看有:
代码总行数和变更增减量统计; 代码提交次数、时段统计; 代码变更量、提交次数人员排名; 代码库提交评审率、千行代码评论数; 代码安全问题趋势和个数排名; 支持分别从团队、用户组和个人视图查看研发活动数据 , 可以辅助评估成员研发贡献情况和项目进展情况 , 截几个图示意下: