引言
作为有十几年IT行业代码的从业人员,经历过代码管理工具的变迁,从早期的微软的Source Code Control,到TFS,再到SVN,再到现在的Git。我深知代码管理工具是代码开发过程中非常重要的工具。市场上的代码管理工具有很多,近期正好团队内部在选型,我对诸如Github、Coding、阿里云效、码云、Azure Devops等工具进行了试用评测。想着很多小伙伴可能也有工具选型方面的痛苦,就大概整理了一下发出来,帮助大家结合自己的实际情况,选择合适自己的工具,节约大家的时间和精力。
阅读本文共需要10分钟左右,当然你可以选择只阅读“长话短说”总结部分。
长话短说
首先介绍一下Github,相信所有编程的朋友都不默认,它是世界上最流程的开源代码库,基于git,现在被微软收购。个人觉得Github在所有工具中是最优秀的,这可能是有点先入为主。
然后介绍一下Coding,它提供了代码托管、敏捷开发协同及DevOps工具链,让团队在云端高效协同,在开发协作过程中享受极致体验,提升软件交付质量与速度。现在有腾讯的投资。它支持Git和SVN。
再下来介绍一下阿里云效,它已经集成在阿里云中,属于阿里系的产品,浓浓的阿里系风格。它支持Git和SVN。
再下来介绍一下码云,它是http://OSCHINA.NET推出的代码托管平台,支持Git和SVN,提供免费的私有仓库托管。据说目前有超过500万的开发者选择码云。号称是中国的Github。
最后介绍一下Azure Devops,它是微软Azure云的产品,属于微软的风格。虽然微软收购了Github,但是Azure Devops长得和Github真的不太像,感觉不是一类的。它支持Git和微软自己的TFS。但TFS实在已经是末日黄花,即将逝去。
原本还想试用华为软开云的,结果发现是猪八戒网的,不知道是不是华为收购投资的。发现注册及其困难,直接放弃。最近华为是要风得风,要雨得雨,各个领域都可以看到华为的身影,但确不是每个领域都可以做得优秀。
评分表
功能方面的对比
主界面
Github
Coding
阿里云效
码云
Azure Devops
比较这些产品的主界面,是不是发现码云的主界面和Github的主界面非常像,不愧是中国版的Github,这点就值得加分。其他产品的排版都很雷同,感觉有点不伦不类,特别是微软的Azure Devops,真的很失望。Coding算中规中矩,开始使用Coding还有点失望,但是比较了阿里云效,Azure Devops后,就会发现还是不错的。
安全性
代码管理工具,安全是非常重要的,所以我们看看他们的各自的登录。
首先是Github,用户名加密码即可,这种会有撞库的风险,起码应该有双因素认证,这点Github真的做得比较差。
然后看Coding,看界面就是用户名和密码,一样的特性,差评
但Coding隐藏支持MFA,如果开启MFA后,登录后就会提示输入MFA的6位Code,这样是非常安全的。这个要加分。
接着看阿里云效,支持扫码登录和账号登录。扫描登录是需要支付宝或者钉钉扫描认证的,非常安全。但是账号认证就是直接用户名加密码,这种方式有被撞库的风险。
再看码云,简单的用户名加密码,这种方式是不安全的。
最后看Azure DevOps,集成的Azure的认证,看起来是用户名和密码,但后台接管的是零信任模型,必要时会要求你输入手机验证码的,是支持双因素的,这个方式是安全的,而且是经过市场检验的。
所以以上产品,登录模块的安全性最好的是Azure DevOps和Coding,然后是阿里云效,阿里云效是否集成了零信任模型不知道,这个经验不会很多。最差的是Github和码云。
创建新项目
首先是Github,它支持Private和Public两种模式,默认是Public,这个就不是一个很安全的做法,应该默认是Private比较好。可以选择是否生成初始化的README文件,这个很好。然后支持.gitignore文件,而且它显示支持None,并且默认是None。这个就不会出现选择了一个模式,如Python,然后又想清理这个选择时发现不能清理的尴尬。另外它还支持选择License,这个开源软件必须的。
接着是Coding,没有这个Public/Private的选择项,但有个很小的复选框选择是否公开代码,这个设计就觉得有点很奇怪,更喜欢Github的样式,然后它支持Git和SVN,你可以选择任意一个,默认是Git。然后是预置代码模板初始化仓库和启动ReadMe.md文件初始化项目二选一,但是是奇葩的复选框。这个时候是不是应该是圆点的单选框比较好。然后都没有默认预置None的选择项,选择之后想清除你会发现找不到地方,这个是非常不人性化的。
接着是阿里云效,支持私有和企业内公开两种,不支持完全公开。默认选择私有,这个做法是安全的。支持是否创建README.md文件,但只有两个选择内置新手引导和空模板,默认是空模板,没有语言选择,没有License,非常简单的选择。但我更喜欢Github的可定制化。
接着是码云,样式与Github高度一致,也是支持Private和Public两种模式,默认是Private,这点比Github安全。也支持语言和.gitignore的样式,但是没有None选项,默认是空,一旦选择了也是遇到不能清除的尴尬。接着又多了初始化README,初始化issue template和初始化Pull Request Template的选项,感觉有点多余。还有一个选择Branch的模式,也是感觉很复杂,不太实用。
最后是Azure Devops,微软的功能好像更加简单。首先是让你选择Private还是Public,默认是Private,这个安全不错。接着在高级隐藏着两个选择项,一个是Version Control的选项,默认是Git的,你还可以选择TFS。TFS已经慢慢被淘汰了。另一项是工作流样式,默认是Basic,其他没有测试。
比较以上几种软件,Github是最好的,但是Github默认选择Public是安全硬伤。码云也不错,基本和Github一样,而且默认选择Private,这个是非常好。但是选项没有内置None,这个是Bug。其他的不说了,希望能够向Github和码云学习。
代码仓库的访问
所有的平台都支持Https和SSH的两种模式,我更喜欢SSH这个模式,不需要输入代码,而且私钥更加安全。
先看Github的,非常简单的Title和Key,不支持过期时间设置。
然后看Coding,除了公钥名称和公钥内容外,支持公钥有效期,这个安全性更好。
接着看阿里云效,也是简单的标题和密钥,而且和顺序颠倒,看起来很别扭。
接着看码云,简单的Titile和Key,与Github一样,不支持过期时间。
最后看Azure Devops,简单的Name和Key,不支持过期时间。
比较上述产品,Coding的SSH Key设置支持过期时间,更加安全,其他的都差不多,但是阿里云效的界面最丑陋。
代码编辑和浏览
实际上很少有开发人员愿意在Github等平台上直接编辑和浏览代码的,更愿意使用专业的VSCode等工具。所以这个功能我觉得哪个平台说它做得多么的优秀都是徒劳的。因为与开发者的习惯不一致。因为这几个平台都支持Git,都可以很好地与VSCode集成,所以没有太多要说的。
代码搜索
这个是Github一个非常好的功能。先看Github,输入文件名或者代码后,就可以检索出相关内容
接着看Coding,很遗憾,Coding没有这个功能。
再接着看阿里云效,可以搜索对应的文件名,比Github差远了。
接着看码云,也没有发现这个功能,非常遗憾。
最后看Azure Devops,有类似功能但居然搜索不到结果,差评。
综上比较,Github是最优秀的,阿里云效有相关的功能,但是效果一般。Azure Devops功能就不能用,不知道是什么原因,其他的就没有这个功能。我个人觉得这个功能是非常有用的。
删除项目
各个产品的删除Project的功能都比较正常。Coding的删除Project功能需要进行MFA认证,比较安全,这点值得推荐。安全性上,Coding是做得不错的,第一个实现了MFA的认证。
代码质量分析
现在随着SSDLC和DevSecOps的深入人心,大家更愿意将安全左移,根据IBM的理论,问题越早发现越早修复,代价就越小。所以代码质量分析就很重要。
首先看Github,并没有集成代码分析功能。
接着看Coding,它在代码仓库的页签下面专门有个代码分析的页签。代码分析支持多个参数,如代码问题、圈复杂度、代码行数等指标,支持增量扫描和全量扫描两种模式,支持多种语言。
新建代码分析支持新分支或者新代码库。然后选择新代码库后,出现这个界面,要求你自己选择代码的语言,即系统不能自动识别你使用了什么代码,这个和专业的代码扫描工具Checkmarx还是有差距。
阿里云效自动集成了安全扫描功能,不需要额外配置,主要支持两种扫描:敏感信息检测和依赖包漏洞检测。
我加了一个Password的代码并且打印出来,但是敏感信息中并没有检测出来,所以我也很怀疑这个检测的结果。
码云,不支持代码分析这个功能。 Azure Devops,也不支持代码分析这个功能。
最后总结一下,相对而言,Coding的代码分析功能更全面,但Coding没有集成依赖包漏洞检测,即通常说的OSA分析。而阿里云效支持OSA分析,但实际上没有代码静态分析,只能一个敏感信息检测。而Github、码云、Azure Devops没有这个功能。
代码容量
Github是免费的代码管理平台,容量是无限大的,从没有听过有限制。Coding是以团队大小限制的,代码容量也没有限制,和Github一样。阿里云效的容量也没有限制。码云的代码容量也是没有限制,最后看Azure DevOps,代码的容量也没有限制。所以五个平台对于开发者都是友好的,代码容量都是无限制的。
与DevOps流程的集成
Github是个纯粹的代码管理平台,并没有直接与其他DevOps流程进行整合。但相信其他平台也很容易整合Github。
Coding,本身就是DevOps的平台,支持持续集成和持续部署。其中持续集成包括构建计划和构建节点。而持续部署支持Kubernetes、云服务器和静态网站。这些功能部分免费,绝对部分是要收费的。不过你选择项目的时候,必须是DevOps项目,而不是纯粹的代码托管项目。
阿里云效,没有看到有直接持续集成和持续部署的页面,估计会和阿里云其他组件进行集成,这里不进行分析。
码云,也集成了DevOps功能,包括Baidu云和Jenkins For Gitee两种选择。
Azure DevOps通过Pipeline也集成部分DevOps功能
总上所述,Coding,码云,Azure DevOps集成或者部分集成了DevOps功能,阿里云效和Github没有直接集成。Coding更加直接,直接看到持续集成和持续部署,而码云感觉是依赖于百度云或者Jenkins进行集成,Azure靠自己的Pipeline集成,没有这么直接。
国内代码拉取速度
由于众所周知的因素,一些国外协作类工具的访问速度非常不乐观,如果你不希望团队浪费时间在等待页面加载,等待代码提交/拉取的漫漫长夜中,这将是你首要需要考量的因素。
这点上,Coding,码云,阿里云效都部署在国内,速度明显占优势。而Github和Azure Devops都差强人意。
总体的评测结果
如果把测评表5星换算为5分,没有此功能为0分,进行加权平均后得到各个产品的得分。
得分最高的Coding,3.36分,其次是码云,2.8分,接着是阿里云效,2.45分,接着是Github,2.45分,最差是Azure Devops,2.27分。
如果去掉国内拉取代码速度(不可控因素)和仓库容量,计算结果如下:
其中排名第一是Coding,3分,然后码云2.56分,接着是Github,2.33分,再接着是微软2.11分,最差是阿里云效,2分。
如果你对安全很重视,那可以参考这个表格
其中排名第一是Coding,3.8分,然后是码云2.8分,然后阿里云效和Azure DevOps,并列2.6分,最差是Github,2.2分。所以Github只是最流行的公开仓库,其安全性并不是强项。