Agenda

  • Einführung / Build Pipeline
  • Jenkins Pipeline
  • Demo & Aufbau
  • Testautomatisierung
  • Provisioning
  • Sicherheit
  • Links

Build Pipeline

  • Jobs = Bausteine der Stages ("Unit of Work")
    • Bestehen aus Tasks wie Build, Deploy, Copy, Test
  • Agile Softwareentwicklung arbeitet kleinteilig
    • Software oft und zuverlässig in Produktion
    • Nutzung der IDE != Automatisierung
    • Wesentlich ist dabei die Build Pipeline
  • Wie?
    • Geschwindigkeit
    • Automatisierung
    • Reproduzierbarkeit

img

  • Eventuell mehrere Pipelines sinnvoll
  • Stages
    • Commit Stage als zentrales Eingangs-Gate
    • Typische Stages: UAT, Performance Tests, Production Deployment
    • Stages verbunden durch Trigger (automatisch oder manuell)
  • Pipeline mehrmals durchlaufen
    • jeder einzelnen Schritt der Pipeline schnell und zuverlässig
    • wird durch Automatisierung erreicht
  • Schritte
    • Entwicklung
    • Qualitätssicherung
    • Auslieferung
  • Tests liefern schnelles Feedback über Seiteneffekte und Regressionen
  • Deployment auf Knopfdruck und innerhalb von Minuten auf dem Produktionssystem
  • Pipeline wird mit jeder Änderung durchlaufen
    • neuer Softwarestand hinein
    • qualitätsgesichertes, produktionsreifes und installierbares Softwarepaket

Jenkins Build Pipeline Plugin

  • Feature von Jenkins 2, Groovy-basiert
  • Klassiche Pipeline in Jenkins benötigt viele Plugins
  • Neue Variante bietet detailiierten Überblick in einem Job

img

Beispiel

  • Deployment Pipeline Erzeugung in Jenkins ist mit Jenkins 2 deutlich einfacher geworden, vorher waren viele Plugins nötig
    • Build Pipeline, Copy Artifact, Parameterized Trigger, Promoted Builds
    • Plugins arbeiten nicht ideal zusammen
  • Jenkins 2 ist auf Pipeline Erstellung ausgelegt
  • üblichen Verdächtigen
    • Selektives „Überspringen“ von Stages, z.B. Deployen auf Produktion aber nicht auf Test Umgebung (z.B. bei Hotfix)
    • Erneutes Ausführen einzelner Stages

Beispiel Pipeline

node {
    stage('Checkout') {
          checkout scm
    }
    ...

    stage('Unit-Tests') {
     sh "mvn test"
    }

    archiveArtifacts '**/target/*.jar'
    junit '*/target/surefire-reports/TEST*.xml'

Beispiel

Warum Jenkins Pipeline

  • Transparenz
  • Struktur
  • Wartbarkeit
  • Produktreife
  • Übersicht
  • Nicht nur auf Java-Welt beschränkt
  • Infrastructure as Code (IaC) auch für Build
  • Build nachvollziehbar, da eingecheckt
    • Schnellere Fehleridentifikation
    • Weniger Overhead durch viele Jobs, siehe Job-DSL
    • Shell-Integration, nvm,ansible,puppet ...

Pipeline Ökosystem wächst

  • immer mehr Plugins unterstützen Pipeline direkt
  • Dokumentation wird immer besser
  • mittlerweile sehr viele Anwendungsgebiete abgedeckt
  • Mehr Beispiel

Multi Branches

  • Multibranch Pipeline Jobs bauen automatisch
  • Mit git flow sehr hilfreich
  • Build-Anpassungen können als Branch getestet werden

img

Blue Ocean

  • Gestartet als neues UI für Jenkins
  • Fast Feedback mit modernen UI
  • mittlerweile gute Pluginunterstützung

img

  • Gut geeignet für schnellen Überblick durch Farben

img img

img

Beispiel

Pipeline Libraries

  • Don't repeat yourself-Prinzip auch beim Build
  • Build enthält schnell einige Hilfsmethoden
  • Nutzung in anderen Projekten statt 'Copy-and-Pase'
  • Nicht nur auf Hilfsmethoden beschränkt
    • volle Groovy-Unterstützung
    • komplette Builds inkl. Steps/Stages möglich

Beispiel

@Library('holisticon-build-library')
def utils = new de.holisticon.ci.jenkins.Utils()


node {
  utils.waitForAppToBeReady('localhost:8080')
}

Beispiel

img

Demo & Aufbau

  • Docker basiert
  • direkt lokal nutzbar

img

Warum Docker?

  • etabliertes & leichtegewichtiges Format für Container
  • Unterstützung in verschiedenen Cloud-Umgebgungen
  • DevOps leichtgewichtig mit docker-compose
  • portabel

Demo für Continuous Integration Setup

  • komplette Buildumgebung
  • Persistenz über Docker Volumes
  • Verlinkung der Container
  • inklusive Selenium Grid
img

Testautomatisierung

  • Anchluss der Unit-Tests erzeugten Artefakte weiter testen
    • Ablage in Repository
    • Deployment in Test-Umgebung
  • Testumgebungen problemebehaftet
    • Dedizierte Slaves (Labels)
    • Docker Images
  • Docker besonders hilfreich (lokales Testen, Ressourcennutzung)
  • Feedback ist ein Muss
    • TestTools müssen aussaugekräftige Reports liefern
    • reproduzierbar & nachvollziehbar
    • gerade bei Oberflächen-Tests

Oberflächen Testing mit Stil - Serenity

  • Tool für ATDD (acceptance test driven development)
  • Macht Integrations-Tests lesbarer, wartbarer und wiederwendbar
  • Selenium als technische Basis
  • Nutzt Page Object Pattern
  • Stellt Reporting für Tracking & Fehlersuche zur Verfügung
  • Verbindung mit Ticket-System
  • Anforderungen auf Tests mappen
  • Passt zum CD Gedanken
  • WebDriver is a browser automation API
    • Used for UI Functional testing
  • Serenity is a Testing framework using WebDriver
    • Used for running tests, advanced reporting

Report

img

Beispiel

Provisioning mit Ansible

  • OSS Tool für Konfigurationsmanagement (vgl. Puppet, Chef oder CFengine)
    • kann ad-hoc ausgeführt werden (vgl. Func oder dsh)
    • Deployment Funktionen (vgl. Fabric oder Capistrano)
  • 2012 gestartete, 2015 von RedHat übernommen
  • in Python geschrieben
  • kommt ohne Agents und Server aus
  • Seit seiner Entstehung ist Ansible stark gewachsen: Auf GitHub ist es in der Top 10 der Python-Projekte und enthält Beiträge von über 700 Entwickler/innen. Ungefähr alle 3 Monate erscheint ein neues Feature-Release.
  • Gegenüber Puppet und anderen Lösungen, positioniert sich Ansible als einfachere und robustere Lösung. Ansible benötigt keinen Ansible-Server oder Ansible-Agents, sondern kann über SSH direkt auf das Zielsystem angewendet werden. Dadurch entfällt die Installation und Verwaltung der Konfigurationssoftware selbst. Es ist kein vorhergehendes Bootstrapping notwendig und ein Upgrade oder Fehler kann nicht dazu führen, dass kein Zugriff auf Systeme mehr möglich ist. Gleichzeitig ist Ansible so auch für kleine Setups, sogar nur für einen einzigen Host, praktikabel.
  • Ansible verwendet keine eigene Syntax für Konfiguration, sondern basiert auf dem etablierten YAML-Format. Die Konfigurationsdateien, genannt Playbooks, sind leicht zu lesen und zu schreiben.

Beispiel

  • YAML-basierte Syntax für die sog. Playbooks
- hosts: webservers
  vars:
      http_port: 80
      max_clients: 200
  remote_user: root
  tasks:
      - name: ensure apache is at the latest version
        apt: pkg=apache2-mpm-worker state=latest
      - name: ensure apache is running
        service: name=apache2 state=started

Deployment

sshagent(['e96eb307-86ff-4858-82bb-cdc20bf1e4b4']) {
  stage('Deploy') {
    dir("ansible") {
      // Install / update dependencies
      sh "ansible-galaxy install -r requirements.yml -f"
      // Execute playbook
      sh "ansible-playbook cddemo.yml --extra-vars 'app_version=${appVersion}
        path_to_artifact=../angular-spring-boot-webapp/target/ng-spring-boot.jar
        --ansible_ssh_port=\${ANSIBLE_PORT}'"
    }
  }
}

Beispiel

Wieso Ansible

  • schlank und einfach zu erlernen
  • flexibel und ohne Infrastruktur einsetzbar
  • Mit Ansible Galaxy reichhaltige Bibliothek
  • guter Support in RedHat Distributionen

Demo - Deployment mit Ansible

Beispiel

Sicherheit eingebaut

  • Quellcode Anpassungen für Continuous Delivery
  • Warum nicht auch für Security?
  • Continuous Delivery auch eine Chance für Sicherheitsaspekte

img

Continuous Security

  • Testen ist nicht alles, bei Entwicklung auch nicht
  • Warum also nicht auch bei Security?
  • logischer Schritt für Automatisierung
  • Security muss auf verschieden Ebenen betrachtet werden
    • Code & Architektur (Sonar)
    • Integrations-Tests (bdd-security, zap, owasp)
  • Bei Softwareentwicklung auch nicht, Planning etc ...
  • Methodik
    • Code Reviews
    • Konferenzen
    • Bücher

Security ganzheitlich

  • Thema einarbeiten
    • Erstellung von Security Guidelines
    • Berücksichtigung von Sicherheit im Rahmen der Erstellung von User Stories
    • Codescans durchführen
    • Peer-Reviews durch einen Security Champion durchführen
    • Penetrationstests einplanen
  • Planing
  • Secure Scrum
  • Thread Model
  • Analog zur restlichen Softwareentwicklung

An nahezu allen Stellen lassen sich Sicherheitsaspekte berücksichtigen. So können User-Stories für die Härtung geschrieben werden oder auch in fachlichen Anforderungen sicherheitsrelevante Punkte berücksichtigt werden. Es ist generell gerade in größeren Projekten ratsam die Rolle des Security Champions zu besetzen und ggf. auch ein- oder mehrere Security-Sprints einzuplanen. Für das methodische Grundgerüst gibt es also verschiedene Punkte die es zu beachten gilt:

  • Security Aspekte
  • Methodik + Testen + Konzeption = gute Software

Node Security Project (NSP)

  • Prüfung der Abhängigkeiten auf bekannte Schwachstellen
  • Schlägt korrigierte Version vor
┌───────────────┬───────────────────────────────────────┐
│               │ Insecure Defaults Allow MITM Over TLS │
├───────────────┼───────────────────────────────────────┤
│     Name      │ engine.io-client                      │
├───────────────┼───────────────────────────────────────┤
│   Installed   │ 1.5.4                                 │
├───────────────┼───────────────────────────────────────┤
│   Vulnerable  │ <= 1.6.8                              │
├───────────────┼───────────────────────────────────────┤
│    Patched    │ >= 1.6.9                              │
├───────────────┼───────────────────────────────────────┤
│   More Info   │ https://nodesecurity.io/advisories/99 │
└───────────────┴───────────────────────────────────────┘

OWASP dependency-check

  • Seit 2012 verfügbar (basiert auf A9 - Komponenten mit bekannten Schwachstellen)
  • Verfügbar in verschiedenen Varianten: Ant, Maven, Gradle, SBT, Jenkins
  • Analyse der Abhängigkeiten zu bekannten Schwachstellen für Java & .NET
  • Experimentielle Unterstützung
    • CocoaPods
    • Swift Package Manager
    • Python
    • PHP (composer)
    • Node.js
    • Ruby
  • Prinzipiell kann jede gefundenen Schwachstelle zu Buildfehler führen
[ERROR] Failed to execute goal org.owasp:dependency-check-maven:1.4.0:check (default) ...
[ERROR]
[ERROR] Dependency-Check Failure:
[ERROR] One or more dependencies were identified with vulnerabilities
        that have a CVSS score greater then '5.0':
[ERROR] commons-httpclient-3.1.jar: CVE-2014-3577
[ERROR] mysql-connector-java-5.1.37.jar: CVE-2014-0001, CVE-2013-2378,  ....
[ERROR] tomcat-embed-core-8.0.33.jar: CVE-2016-3092, CVE-2013-2185, CVE-2002-0493
  • Nicht praktikabel, deswegen sind Ausnhamen nötig
    • Kann reduzierter Common Vulnerability Scoring System-Score (CVSS) gewählt werden
    • Ausnahmen festlegen

img OWASP Zed Attack Proxy (ZAP)

Features

  • Intercepting Proxy
  • Automated Scanner
  • Passive Scanner
  • Brute Force Scanner
  • Fuzzer
  • Port Scanner
  • Spider
  • Web Sockets
  • REST API Scanning (OpenAPI/Swagger)
  • Can use OpenAPI spec
  • Selenium Proxy

ZAP Java Integration

  • Maven Plugin: github.com/hypery2k/zap-maven-plugin

img

img

Fazit & Ausblick

  • Feedback ist ein Muss
  • Pipeline Plugin enorme Hilfe, gerade bei git flow
  • Im Bereich von CD viele Tools im Bereich Testing & Automatisierung
  • Gefahr von "Over-Engineering" der Schritte in Pipeline
  • Bewegung im Tool-Bereich (Kubernetes, Jenkins Pipeline, Docker ...)
  • Continuous Integration zwingend für Continuous Delivery
  • Bibliotheken = Sicherheitsrisiko
  • Feedback
    • Teststufen kontinuierlich Feedback über aktuellen Qualitätsstand
    • Tools müssen das unterstützen
  • Bibliotheken = Sicherheitsrisiko
    • gerade im modernen Umfeld
    • zeitnahe Aktualisierung nötig
    • automatisierbar

Links

  • Buildbox
  • DevOps – Testautomation
  • OWASP Top 10
  • OWASP Cheat Sheet
  • ZAP Blog
  • Your code as a crime scene
  • Secure Scrum
  • Rock CI mit Jenkins 2 und Docker
  • Beispiel Serenity
  • Über Jenkins Build Libraries
  • holisticon Pipeline Library Beispiel
  • Jenkins Plugin Pipeline Library Beispiel

There is no one-size-fits-all solution to the complex problem of implementing a deployment pipeline.” Continuous Delivery, J. Humble, D. Farley

About me

  • Martin Reinhardt (Holisticon AG)

img

  • github.com/hypery2k
  • twitter.com/mreinhardt

Präsentation

img

holisticon.github.io

Holisticon AG