动手：结束这一切的好方法。今年在维加斯举行的DevOps企业峰会太棒了！会议每年都在增长，真是令人惊讶。今年也不例外，约有2000人参加。吉恩·金（Gene Kim）在开幕式上对DevOps的定义（摘自巴克莱银行的Johnathan Smart）："更好的价值——更快、更安全、更快乐"和"更安全"正变得越来越关键。这就是为什么CloudBees与Sonatype合作，在DOES18之后的第二天，与johnwillis一起举办了一个DevSecOps实践研讨会。有什么比花时间和20多位DevOps从业人员一起学习如何更快地交付更安全的软件更好的方法呢？DevSecOps的口号是"你构建它，你就确保它"，这是我们在周四的贝拉吉奥举行的研讨会的主题，该研讨会是在DevOps企业峰会之后于上午9点到下午4点举行的。研讨会从johnwillis对DevSecOps的精彩概述开始。约翰对DevOps的务实和扎根的观点令人耳目一新。他强调，软件不仅在蚕食世界，而且正在感染世界。将安全性集成到软件交付管道中以及在DevOps过程中集成安全团队对于更快地为客户交付价值至关重要。在最近一次由johnwills与CloudBees共同主持的DevSecOps网络研讨会上，他说："您必须将元数据、策略和自动化放在交付链中。我们要保安人员。。。给我们更多的门。我们开始用我们交付软件的方式来创建安全卫生设施。"深入devsecopsa学习了John Willis并在一顿丰盛的午餐中分享了我们的DevOps故事之后，人工智能网络，我们进入了研讨会的实际操作部分。在这段时间里，我们为研讨会与会者提供了构建易受攻击的javaj2ee struts应用程序，然后在他们自己的CI/CD管道中保护漏洞的经验。我们使用了导致2017年Equifax漏洞的相同漏洞，称为CVE-2017-5638。此漏洞存在于开源apachestruts web框架的某些版本中，这些版本被Jenkins等常用工具广泛使用。研讨会参与者创建了他们自己的基于Struts的J2EE web应用程序示例，并将其连接到CloudBees CloudBees Flow上运行的CI/CD管道。CI/CD管道使用Jenkins构建应用程序，然后通过公共管道阶段运行应用程序，将应用程序部署到QA、Stage和生产环境中。从这里开始，学生们配置了他们的每个发布管道来触发Sonatype的nexusiq服务器上的安全扫描。在CloudBees流中使用自动选通，他们能够在管道的早期阶段检测到漏洞，这样团队就可以在不减慢管道速度的情况下意识到漏洞。然后在准备到生产阶段，云 服务器，学生们设置一个硬门，如果发现任何关键漏洞，将阻止部署到生产。学生们就如何处理管道早期的安全漏洞展开了热烈的讨论——一些人更愿意继续管道，其他人则关闭管道，其他人则发出警告并通知相关利益相关者。在获得威胁后，索纳泰克花了一些时间让学生们了解威胁报告的细节。这总是一个巨大的现实检查，看看有多少下载一个易受攻击的库发生后，*该漏洞已被检测。导致Equifax漏洞的Struts2漏洞是no例外。黑客在构建了一个易受攻击的应用程序并在他们自己的CI/CD管道中保护它之后的一天里，建站服务，学生们就成了"一天的黑客"，并学习了一些恶意黑客可能用来利用struts2等漏洞的基本方法。在这里，我的云，学生们在笔记本电脑上安装了Docker，部署了基于Struts v2的web应用程序，并使用了一个简单的利用工具，利用诸如nmap、skipfish和metsploit等常用工具入侵他们基于J2EE的web应用程序。这是当我攻击我自己的笔记本电脑，在端口8080上运行一个易受攻击的J2EE web应用程序时的样子。运行"whoami"命令并获取"root"—这应该会吓到你的！我们有一段很好的时间来体验安全漏洞如何威胁我们的创新能力和为客户提供价值的现实。听别人讲话是一回事，自己动手是另一回事。如果您有好的工具和一个灵活的平台来创建发布管道，那么您就可以将安全性纳入到整个DevOps过程中。如果你想了解更多关于研讨会的技术细节，可以看看我们在伦敦举办的研讨会的博客文章。去看看约翰·德瓦朗德最近的博客。

，物联网