如何基于制品元数据提升交付效率 | 阿里巴巴DevOps实践指南

编者按：本文源自阿里云云效团队出品的《阿里巴巴DevOps实践指南》前往：https://developer.aliyun.com/topic/devops，下载完整版电子书，了解阿里十年DevOps实践经验。

为保证软件交付的质量，我们对交付物有功能和性能上的要求。这些要求体现在交付过程中产生的数据上，包括：代码评审数据、安全扫描数据、回归测试结果等。这些数据以交付物（制品）为载体。我们把这些数据称作制品的元数据。

什么是元数据?

元数据指一经产生就不会变化的数据。元数据是由系统产生，具有不可篡改和可回溯的特点，因而成为发布过程中的必要基础数据。

元数据为何重要?

为说明元数据的重要性，先举个例子。阿里中台应用在架构上依赖很多业务团队的二方包，这些二方包质量往往难以把控。那怎么来解决呢?

一种改进方法就是从单个应用维度，到应用依赖树维度更”全景”更”立体”展示数据。以代码评审为例，在中台应用的制品中，包含很多业务团队开发的二方包。而在评审中台应用时，只会看到 pom 文件中的二方包的版本号变了，看不到具体的代码变化。对于评审者，需要看到这些版本号背后的代码变化，以及与这些代码变化相关的信息，如相关的需求、有没有通过代码检测、单元测试结果等。

一个应用运行时的依赖大部分在构建时就决定了。运行时问题很多是由依赖引起的。让构建依赖(树)产生新价值，从而实现风险左移。

元数据主要有哪些?
除了在构建阶段取到的依赖树，我们还有其它数据，如测试产生的质量数据，安全扫描产生的安全数据。这些数据我们都会存放到"元数据中心"，再通过"管控策略中心"，利用这些数据对交付过程做自动化的卡点。这一流程通常包括可见、可控、可信三个阶段。

"可见"是给用户展现元数据中心的数据，给用户透出交付过程的风险与瓶颈。
"可控"是给用户根据看到的问题后，再设置规则来实现自动化检测与门禁。
"可信"则是结合"合规安全扫描服务"与"制品仓库"能力，完成数据与规则的融合，实现交付安全。
从可见到可控，再到可信，最后达到提升交付效率的目标。与此同时，元数据与规则不断演进，慢慢沉淀成知识库࿰