安全自动化编译部署

1. “自动化测试”是否有必要做自动化测试

目录

一、前言

二、自动化目的

三、自动化分如顷槐类

四、自动化实现

一、前言

在一些测试交流群经常会看到有小伙伴在问，"怎么做自动化测试？学习自动化测试有什么资料吗？自动化测试是渣友不是很牛逼？" ，甚至有些言论是"不会自动化的测试人员，真的要被淘汰了吗？"

不得不说一堆流量号主抓住大众心理，点进去的必然是卖课广告，或者是关注微信公众号领取测试资料大礼包。

实话实说，我之前也有同样的疑问，甚至带着担忧。每次又不甘心得领着测试资料大礼包......

当然，随着自己的认知不断扩大，自己的一套测试体系建设不断完善，于是这些担忧逐渐的消失。每项技术引用都要看适用场景，是否适合自己的团队，因地制宜才能发挥其最大的价值。

因此，我想通过这篇文章来分享下我对于自动化测试的理解乎局。

二、自动化目的

自动化工作可以节省很多人工操作成本，减少人工重复性操作，提高整个团队的研发效率。但是如果搭建自动化体系需要耗费很长时间，投入很多人力资源，但是用户只要2-3分钟的手动工作就能解决，而且这个操作并不频繁，又或者需要自动化操作的平台变更迭代非常快并且没有规律，自动化工具在后面类似累活的跟着。那么自动化还是有必要吗？

我之前在的团队，造测试数据特别困难，严重影响了整个研发效率，但是当时也没有一个好的解决办法，后来基础研发组做了一个造数平台，这个平台需要自己去配置各种字段，并且梳理出各个表字段的关联，从头到尾一个一个去构建场景，一不小心就配置错误，看着提示你也找不到原因的那种。这给造数过程中又添了一个拦路虎，给本不充裕的测试时间，又耗时一把。

如果能在做执行任务前评估任务的投入和收益，那么是不是就能更加合理的开展这项任务。那么自动化测试的投入和收益是怎样的呢？

投入：通过测试人员借助脚本或者工具实现自动化，维护自动化平台。

收益：提高测试效率，提升测试人员的成长。

自动化测试真的提高测试效率吗？真的可以提升测试人员的成长吗？针对后者，我认为是有的。接下来我们就来聊聊自动化测试是否提高测试效率。

三、自动化分类

自动化一般分为接口自动化和UI自动化，其中UI自动化又分为Web UI自动化和App UI自动化，按照我的理解还应加上部署自动化。

接下来我将针对这四种自动化的场景做一个介绍。因为我对于UI自动化不是很熟悉，我认为投入产出比不是很高，主要还是因为我没咋接触过，所以后面仅做简单介绍，重点讲解接口自动化和部署自动化。

四、自动化实现

4.1、接口自动化

接口

接口测试主要用于检测外部系统与系统之间以及内部各个子系统之间的交互点。测试的重点是要检查数据的交换，传递过程，以及系统间的相互逻辑依赖关系等。

流程

填写接口，入参，对出参进行断言，每天定时构建，输出测试报告。

入参覆盖范围：必选，可选，有/无/null，类型，数值大小/数值范围，特殊字符；

出参：json，data；

接口关联：接口之间的依赖，数据传递；

断言：对响应做核验，可以对状态码或者msg做校验。

优点

接口测试可以做到更多的覆盖场景；

接口测试可以更快的发现服务端问题；

接口测试相对容易实现自动化持续集成；

接口测试相对于比单元测试比较贴近业务场景；

技术选型

1、MeterSphere

MeterSphere 是一站式测试平台，涵盖测试跟踪、接口测试、性能测试、 团队协作等功能，全面兼容 JMeter、Postman、Swagger 等开源、主流标准。

MeterSphere是一个功能交全的平台，并且是开源的，对于免费版就足够小团队使用了，使用门槛相对来说较低，对于技术能力要求不高，所以是一个不错的选择。MeterShpre使用的技术栈是SpringBoot+vue，以及一些中间件，也可以在此基础上进行二次开发。

2、Python

通过Python来做接口自动化的话，常用组件有：执行库Requests，断言库unittest，测试报告HTMLTestRunner，通过持续集成Jenkins做定时构建。

框架思想：封装，数据驱动。

使用Python的话则需要掌握一定的代码能力，当然这个对个人技能的提升是很有帮助的，但是如果在时间比较紧迫的并且没有足够的技术功底情况下，还是比较推荐MeterSphere的。

4.2、部署自动化

部署

部署就是将源代码编译成可运行软件包，比如jar包或者war包，并且将软件包放到目标环境，将软件包运行起来，并且能够被客户端调用。

流程

通过远程仓库拉取代码，前端编译，后端编译，下发软件包到目标机器，重启服务，启动失败则告警。

优点

相比传统手工部署，速度更快，不容易出错，提高交付效率。

技术选型

gitlab或者gitee：代码托管

git：版本管理

node：前端编译

maven：后端编译

ansible：下发文件

shell：重启服务

pipeline：流水线构建

Jenkins：CICD大总管，将以上工具整合起来，提供页面供用户操作部署流程。

4.3、Web UI自动化

UI自动化

通过页面元素定位定位到元素，模拟用户的操作行为，点击，输入，拖拽等。

流程

定位元素，模拟用户操作，发送测试报告。

优点

适用于回归主流程，并且变更不频繁的场景。可用于重复性的功能测试及验证。我之前在的团队做过一段Web UI自动化，但是因为需求频繁变更，并且精力有限，维护这个平台的成本较高，后面就没有持续维护了。

技术选型

Python，selenium。

4.4、App UI自动化

UI自动化

通过页面元素定位定位到元素，模拟用户的操作行为，点击，输入，拖拽等。

流程

定位元素，模拟用户操作，发送测试报告。

优点

适用于回归主流程，并且变更不频繁的场景。

技术选型

Appinum。

结论：我认为接口自动化和部署自动化是能够带来收益的，是真实能够提高效率的，并且也能够给测试人员的带来成长。

关注【嘎嘎软件测试】

搞测试，不迷路

呱呱大王本呱带你飞！

嘎嘎软件测试 分享个人成长、团队管理、软件测试技能知识等内容，做到有思想、有观点、有深度，欢迎订阅。

2. 安全开发你必须使用的28个DevSecOps工具

将安全融入开发过程，更早捕获并修复应用漏洞，你需要这五类共28款DevSecOps工具。

DevSecOps 是将安全集成到整个应用开发周期的过程，是从内到外强化应用，使其能够抵御各种潜在威胁的理想方式。因为很多公司企业不断开发应用以满足客户和商业合作伙伴的需求，DevSecOps的吸引力也与日俱增。

敏捷开发方法与DevOps操作帮助公司企业达成持续开发的目标。云原生应用架构也成芹尺为了DevSecOps运动的有力贡献者，推动采用公共云提供商、容器技术和容器平台为应用提供计算能力。DevSecOps将安全过程与工具集成进工作流并加以自动化，摆脱了传统方法按时间点进行的潜在干扰，是个无缝且持续的过程。

咨询公司 Data Bridge Market Research 称，鉴于网络安全威胁数量与危害性的持续上升，全球DevSecOps市场预计将从2018年的14.7亿美元增长至2026年的136.3亿美元。

市场繁荣之下，DevSecOps工具必将呈现百花齐放百家争鸣的局面。下面就按核心门类为您呈上多款优秀DevSecOps工具。

开发应用的时候很容易忽略掉安全漏洞。下面的工具为开发人员提供了潜在安全异常及缺陷的警报功能，可供开发人员及时调查并修复这些漏洞，不至于走得太远回不了头。有些工具专用于警报功能，比如开源的Alerta 。其他工具则兼具测试等别的功能，比如 Contrast Assess。

1. Alerta

(https://alerta.io/)

该开源工具可将多个来源的信息整合去重，提供快速可视化功能。Alerta与Prometheus、Riemann、Nagios、Cloudwatch及其他监视/管理服务集成，开发人员可通过API按需定制Alerta。

2. Contrast Assess

(https://www.contrastsecurity.com/interactive-application-security-testing-iast)

作为一款互动应用安全测试(IAST)工具，Contrast Assess 与用户应用集成，在后台持续监视代码，并在发现安全漏洞时发出警报。据称即便是非安全开发人员也可使用 Contrast Assess 自行识别并修复漏洞。

3. Contrast Protect

(https://www.contrastsecurity.com/runtime-application-self-protection-rasp)

该运行时应用自保护(RASP)工具采用了 Contrast Assess 同款嵌入式代理。Contrast Protect 在生产环境中查找漏洞利用程序和未知威胁，并将结果提交给安全信息及事件管理(SIEM)控制台、防火墙或其他安全工具。

4. ElastAlert

(https://elastalert.readthedocs.io/en/latest/)

ElastAlert提供近实时接收警报的框架，可接收来自Elasticsearch数据的安全异常、流量激增及其他模式。ElastAlert查询Elasticsearch并根据一系列规则比较这些数据。一旦出现匹配，ElastAlert便发出警报并随附建议动作。

大多数DevSecOps工具都提供一定程度的自动化。此类工具自动扫描、发现并修复安全缺陷，只是搜首饥自动化程度各有不同，从条件式事件驱动的自动化到运用深度学习技术的自动化都有。

1. CodeAI

(http://www.qbitlogic.com/codeai/)

旨世返在通过深度学习技术自动查找并修复源代码中的安全漏洞，号称可为开发人员提供可供参考的解决方案列表，而不仅仅是安全问题列表。其供应商QbitLogic宣称，已为CodeAI馈送了数百万个现实世界漏洞修复样本供训练。

2. Parasoft tool suite

(https://www.parasoft.com/)

Parasoft提供包括应用开发安全测试在内的多种自动化工具：

1）Parasoft C/C++test

(https://www.parasoft.com/procts/ctest)

用于开发过程早期缺陷识别；

2）Parasoft Insure++

(https://www.parasoft.com/procts/insure)

可以查找不规范编程及内存访问错误；

3）Parasoft Jtest

(https://www.parasoft.com/procts/jtest)

用于java软件开发测试；

4) Parasoft dotTEST

(https://www.parasoft.com/procts/jtest)

以深度静态分析和高级覆盖作为 Visual Studio 工具的补充。

3. Red Hat Ansible Automation

(https://www.redhat.com/en/technologies/management/ansible)

该工具包含三个模块——Ansible Tower、Ansible Engine 和 Red Hat Ansible Network Automation，可作为无代理IT自动化技术单独或联合使用。尽管不是专门的安全工具，Ansible Automation 却可供用户定义规则以确定自身软件开发项目中哪些部分是安全的。

4. StackStorm

(https://stackstorm.com)

该开源工具号称“可进行条件式运营”，其事件驱动的自动化能在检测到安全漏洞时提供脚本化的修复与响应，并附有持续部署、ChatOps优化等功能。

5. Veracode

(https://www.veracode.com/devsecops)

该公司提供DevSecOps环境中广泛使用的一系列自动化安全工具，包括在代码编写时即时自动扫描的Greenlight；在沙箱中扫描代码漏洞的 Developer Sandbox；识别漏洞组件的 Software Composition Analysis (SCA)；以及识别应用缺陷的 Static Analysis。

专用DevSecOps仪表板工具可使用户在同一图形界面中查看并共享从开发伊始到运营过程中的安全信息。有些DevSecOps应用，比如ThreatModeler和Parasoft已自带仪表板。

1. Grafana

(https://grafana.com/)

该开源分析平台允许用户创建自定义仪表板，聚合所有相关数据以可视化及查询安全数据。如果不想自行构建，还可以在其网站上选用社区构建的仪表板。

2. Kibana

(https://www.elastic.co/procts/kibana)

如果你使用Elasticsearch，该开源工具可在统一图形界面中集成成千上万的日志条目，包括运营数据、时间序列分析、应用监视等等。

威胁建模DevSecOps工具用以在复杂的攻击界面中识别、预测并定义威胁，以便用户可以做出主动安全决策。有些工具可根据用户提供的系统及应用信息自动构建威胁模型，并提供可视化界面以帮助安全及非安全人员 探索 威胁及其潜在影响。

1. IriusRisk

(https://continuumsecurity.net/threat-modeling-tool/)

出自 Continuum Security 的解决方案，既可云部署，也可现场部署，能以基于问卷的界面自动化风险及需求分析，并设计出威胁模型和技术性安全要求。IriusRisk还可帮助用户管理代码构建及安全测试阶段。

2. ThreatModeler

(https://threatmodeler.com/)

该自动化威胁建模系统有两个版本：AppSec版和云版。在提供了用户应用或系统的功能性信息后，ThreatModeler会基于更新的威胁情报自动就整个攻击界面进行数据分析和潜在威胁识别。

3. OWASP Threat Dragon

(https://www.owasp.org/index.php/OWASP_Threat_Dragon)

一款基于Web的开源工具，提供系统图解和用于自动化威胁建模与缓解的规则引擎。Threat Dragon 承诺可与其他软件开发生命周期(SDLC)工具无缝集成，且界面易于使用。

在开发过程中测试应用以找出潜在漏洞是DevSecOps的关键部分，能够事先发现安全漏洞，避免漏洞被黑客利用。尽管其他工具往往包含了测试功能，比如Parasoft出品的那些，下列工具仍然在应用安全测试上表现强劲。

1. BDD-Security

(https://continuumsecurity.net/bdd-security/)

该出自 Continuum Security 的开源框架可使安全人员在敏捷开发过程中测试行为驱动开发(BDD)语言编写的功能及非功能性安全场景。此BDD框架旨在使安全功能独立于应用特定的导航逻辑，让同样的安全要求能够更容易地应用到多个应用程序上。

2. Checkmarx CxSAST

(https://www.checkmarx.com/procts/static-application-security-testing/)

可对25种编程及脚本语言进行未编译/未构建源代码扫描的静态应用安全测试(SAST)工具，能在SDLC早期发现成百上千种安全漏洞。CxSAST兼容所有集成开发环境(IDE)，是Checkmarx软件暴露平台的一部分——该平台可在DevOps所有阶段植入安全。Checkmarx的交互式应用安全测试(IAST)工具可检测运行中应用的安全漏洞。

3. Chef InSpec

(https://github.com/inspec/inspec)

整个开发过程中的每一阶段都可以运用该开源工具自动化安全测试以确保针对传统服务器及容器和云API的合规、安全及其他政策要求。

4. Fortify

(https://www.microfocus.com/en-us/solutions/application-security)

Micro Focus 出品，提供端到端应用安全，可供进行覆盖整个软件开发生命周期的现场及按需测试。Fortify on Demand 是 Micro Focus 的应用安全即服务产品，提供静态、动态和移动应用安全测试，以及生产环境中Web应用的持续监视。

5. Gauntlt

(http://gauntlt.org/)

流行测试框架，旨在推动易操作的安全测试及安全、开发和运营团队间的沟通。GauntIt便于产生攻击测试用例，且能方便地钩入现有工具及进程。

6. Synopsys suite

(https://www.synopsys.com/)

Synopsys提供多个应用安全测试工具，包括：

1）SAST工具Coverity

(https://www.synopsys.com/software-integrity/security-testing/static-analysis-sast.html)

自动化测试且融入持续集成/持续交付(CI/CD)管道；

2）SCA工具 Black Duck

(https://www.synopsys.com/software-integrity/security-testing/software-composition-analysis.html)

采用容器及应用中的开源和第三方代码检测并管理安全；

3）SeekerIAST

(https://www.synopsys.com/software-integrity/security-testing/interactive-application-security-testing.html)

识别可暴露敏感数据的运行时安全漏洞；

以及一系列用于应用安全测试的托管服务。

以下DevSecOps工具同样含有上述工具提供的功能，但或多或少略有不同。

1. Aqua Security

(https://www.aquasec.com/)

在整个CI/CD管道和运行时环境中管理端到端安全，可用于所有平台和云环境的容器及云原生应用。

2. Dome9 Arc

(https://www.checkpoint.com/solutions/devops-security/)

被 Check Point 收购，提供自动化测试及安全实施，使开发人员能够将安全及合规融入公共云应用的构建、部署及运营。

3. GitLab

(https://about.gitlab.com/)

该工具可将DevSecOps架构融入CI/CD过程，在提交时测试每一块代码，使开发人员能够在编程期间缓解安全漏洞，并提供涵盖所有漏洞的仪表板。

4. Red Hat OpenShift

(https://www.redhat.com/en/technologies/cloud-computing/openshift)

为基于容器的应用提供内置安全，比如基于角色的访问控制、以安全增强的Linux(SELinux)实现隔离，以及贯穿整个容器构建过程的核查。

5. RedLock

(https://www.paloaltonetworks.com/procts/secure-the-cloud/redlock/cloud-security-governance)(前身为Evident.io)

Palo Alto Networks 出品，适用于部署阶段，帮助开发人员快速发现并缓解资源配置、网络架构及用户活动中的安全威胁，尤其是在亚马逊S3存储桶和弹性块存储(EBS)卷上。

6. SD Elements

(https://www.securitycompass.com/sdelements/)

出品自 Security Compass 的自动化平台，旨在收集客户软件信息，发现威胁及对策，突出相关安全控制措施以帮助公司企业实现其安全和合规目标。

7. WhiteHat Sentinel 应用安全平台

(https://www.whitehatsec.com/procts/solutions/devsecops/)

该解决方案提供贯穿整个SDLC的应用安全，适用于需将安全集成进工具中的敏捷开发团队，以及需持续测试以保证生产环境应用安全的安全团队。

8. WhiteSource

(https://www.whitesourcesoftware.com/)

用于解决开源漏洞，可集成进用户的生成过程，无论用户采用什么编程语言、生成工具或开发环境。WhiteSource使用经常更新的开源代码数据库持续检查开源组件的安全及授权。

3. 2019最好用的自动化测试工具Top 10，果断收藏

这个时候总是无奈的说:

你应该学习Python 或是Java

你应该掌握Selenium

又或者你需要学会jmeter，嗯，可能LoadRunner你应该学习

也许SoapUI是个不错的选择，或者你可是试试PostMan

......

其实这些都不是我真正的答案，我想说：只专注于一种编程语言或一种工具可能限制你的发挥，尤其可能限制了你在工作中提供的价值。如果你提供的价值在逐步退化，那么你的舞台可能突然谢幕，你的职业停滞不前，受到限制。

所以，什么最重要？当然是能力了！

下面我就介绍下2019最好用的10个自动化测试工具，希望可以充实你的知识库，打开你的职业发展舞台！

在自动化测试领域，自动化工具的核心地位毋庸置疑。我总结了最顶尖的自动化测试工具，这些工具可以帮助组织更好地定位自己，跟上软件测试的趋势。这份清单包含了开源和商业的自动化测试解决方案。

Selenium：WebUI自动化测试

Selenium是网页应用中最流行的开源自动化测试框架。起源于2000年，10多年来不断地完善，Selenium成为许多Web自动化测试人员的选择，尤其是那些有高级编程和脚本技能的人。Selenium也成为了其他开源自动化测试工具比如Katalon Studio，Watir，Protractor和Robot Framework的核心框架。

Selenium 支持多系统环境（Windows，Mac，Linux）以及多种浏览器（Chrome，FireFox，IE以及无头浏览器（没有界面））。它的脚本可以由各种各样的编程语言编写，比如 Java，Groovy，Python，C#，PHP，Ruby 以及 Perl。

因为Selenium的灵活性，测试人员可以写各种复杂的、高级的测试脚本来应对各种复杂的问题，它需要高级的编程技能和付出来构建满足自己需求的自动化测试框架和库。

Appium：APP UI自动化测试

Appium是一个移动端自动化测试开源工具，支持iOS和Android平台，支持Python、Java等语言，即同一套Java或Python脚本可以同时运行在iOS和Android平台，Appium 是一个C/S架构，核心是一个Web服务器，它提供了一套REST的接口。当收到客户端的连接后，就会监听到命令，然后在移动设备上执行这些命令，最后将执行结果放在HTTP响应中返还给客户端。

Jmeter：接口测试，性能测试

JMeter是一个开源的Java桌面应用程序，主要用于web应用程序的负载测试。它还支持单元测试和有限的功能测试。

它有很多好的特性，比如动态报告、可移植性、强大的测试IDE等，并且支持不同类型的应用程序、协议、shell脚本、Java对象和数据库。

Postman：接口测试

Postman 提供功能强大的Web API和HTTP请求的调试，它能够发送任何类型的HTTP请求 (GET, POST, PUT, DELETE…)，并且能附带任何数量的参数和Headers。不仅如此，它还提供测试数据和环境配置数据的导入导出，付费的Post Cloud用户还能够创建自己的 Team Library用来团队协作式的测试，并能够将自己的测试收藏夹和用例数据分享给团队。

SoapUI：接口测试

SoapUI是一个非常流行的用于SOAP和REST的开源API测试自动化框架。它还支持功能测试、性能测试、数据驱动测试和测试报告。

Monkey：稳定性测试

软件附带在sdk中，适用于android和ios，通过adb shell，生成用户或系统的伪随机事件。压力测试结果：崩溃crash，无响应anr，基本命令：adb shell monkey 1000。

Robot Framework：Web UI自动化测试，接口测试

Robot Framework是一个开源自动化框架，它实现了用于验收测试和验收测试驱动开发（ATDD）的关键字驱动方法。Robot Framework为不同的测试自动化需求提供框架。但是，通过使用Python和Java实现其他测试库，可以进一步扩展其测试功能。Selenium WebDriver是Robot Framework中常用的外部库。

测试工程师可以利用Robot Framework作为自动化框架，不仅可以进行Web测试，还可以用于Android和iOS测试自动化。对于熟悉关键字驱动测试的测试人员，可以轻松学习Robot Framework。

QTP：Web UI自动化测试

QTP是一种自动测试工具。使用 QTP 的目的是想用它来执行重复的手动测试，主要是用于回归测试和测试同一软件的新版本。因此你在测试前要考虑好如何对应用程序进行测试，例如要测试那些功能、操作步骤、输入数据和期望的输出数据等。

QTP针对的是GUI应用程序，包括传统的Windows应用程序，以及现在越来越流行的Web应用。它可以覆盖绝大多数的软件开发技术，简单高效，并具备测试用例可重用的特点。其中包括：创建测试、插入检查点、检验数据、增强测试、运行测试、分析结果和维护测试等方面。

LoadRunner：性能测试

LoadRunner，是一种预测系统行为和性能的负载测试工具。通过以模拟上千万用户实施并发负载及实时性能监测的方式来确认和查找问题，LoadRunner能够对整个企业架构进行测试。

企业使用LoadRunner能最大限度地缩短测试时间，优化性能和加速应用系统的发布周期。LoadRunner可适用于各种体系架构的自动负载测试，能预测系统行为并评估系统性能。

Jenkins：持续集成

自动化构建编译，部署，任务执行，测试报告，邮件通知等。

使用开源测试工具有很多好处，尤其是无直接的购买成本，而且可定制，但也有一定的局限性。尤其是缺乏专业的技术支持，有限的许可支持以及脚本维护有时会成为一个挑战性的工作。

为了选择正确的自动化测试工具，你应该确保该工具是处于活跃维护状态的，并且与你所在企业业务、团队、技能匹配，并且是团队里有相应的专家。

因此在选择工具之前，你必须仔细研究，以便该工具能够满足你的测需求，并且能帮助你更好的执行测试。

4. Linux里面自动化部署工具有哪些

1. Puppet
Puppet是一款开源工具，旨在为系统管理员大大简化自动化和报告工作。它基本上是款配置管理软件，有助于配置和维护企业网络中的服务器及其他系统。系统管理员通常每天要花大量时间重复做同样的任务。他们总是想要使这些任务实现自动化，以便有更多的时间来处理其他项目或学习新的概念和脚本语言。管理员可以通过编写脚本使任务实现自动化，但是在拥有大型网络的公司，脚本不是很方便。这时候，Puppet就大有用场，因为借助Puppet，你可以：

为网络上的每个主机定义独特的配置设置;
不断监测网络，查找任何变动;
帮助高效地创建和管理用户;
帮助管理每个开源工具的配置设置。
2. CHEF
Chef是另一款可供Linux系统管理员使用的流行的自动化工具。它用Ruby和Erlang编写，对于配置和维护公司的服务器大有帮助，无论贵公司拥有十台服务器还是上百台。它还可以帮助你将云端服务器与亚马逊EC2、OpenStack、RackSpace或谷歌云整合起来。Chef可以将你的基础设施转变成代码，那样借助代码，你只要更改几行代码，就能轻松撤下一台服务器，从而让你轻松管理服务器。物理节点还意味着：将变更内容部署到生产环境之前，可以对它轻松进行测试，你还可以轻松控制针对代码的每次更新的版本。Chef DK为你提供了测试和管理配置的所有工具，Chef Server充当你所有“菜谱”(recipe)的存储库，可以管理与服务器连接的每个节点。Chef客户软件在每个客户端上运行，时不时收到服务器方面的信息，从而更新其配置设置。

3. CFEngine

面向Linux系统管理员的下一款自动化工具是CFEngine，这是另一个领先的自动化系统，可帮助你轻松管理整套基础设施，并使之实现自动化。一旦你使用CFEngine为网络中的系统定义了配置，那么CF Engine就会自动确保配置符合规范。不用说，如果你的网络中有10个或100个节点，可以在短短几秒内更新或改动任何一个节点或所有节点。CFEngine之所以受到许多Linux系统管理员的青睐，是由于它运行成本低、响应速度快、具有自愈合功能。
4. Ansible

Ansible是Red Hat提供的一款开源配置管理和IT企业自动化软件，随带一种简单的编程语言，让系统管理员能够高效地处理自动化和配置过程。Ansible由控制机器和控制机器控制的节点组成。节点是通过SSH来加以控制的。Ansible的主要特点之一是代理并不是部署到节点 ，但是完全借助SSH来进行通信。易学易用、具有一致性、高可靠性和安全性是让Ansible脱颖而出的其他特性。Ansible的唯一局限就是无法配置裸机和虚拟机。
5. Foreman
Foreman是另一种用于取证分析的开源配置管理工具。Foreman提供了仪表板，我们可以通过仪表板来配置裸机服务器和虚拟机。默认情况下，无论我们何时安装Foreman，它都使用Puppet作为配置工具。不过借助插件，Foreman还支持与其他配置管理工具整合起来，比如Chef、Puppet、Ansible、Salt及其他众多工具。Foreman自动化工具还随带各种各样的接口，包括命令行接口、Web前端以及REST API。Foreman的其他一些显着功能包括如下：

通过仪表板，管理Puppet模块和puppet类方面的改动；
很容易从Foreman仪表板来管理Puppet环境；
由于仪表板，创建主机群(Hosts Group)以及为主机群添加puppet模块变得很轻松；
可以从Foreman仪表板，轻松添加Puppet模块或推送到节点。
6. Katello
Katello是另一种开源自动化工具。换而言之，我们可以说Katello是一种开源版的Red Hat satellite Server;如果我们不想花钱在企业产品及其支持上，就可以用它来代替Red Hat satellite Server。Katello已被Foreman收购，Foreman中的大部分功能在Katello中也得到了支持。Katello Server的主要功能如下：

给基于Linux的服务器(RHEL和CentOS )打补丁;
使用Pulp Service来同步代码库;
使用Foreman进行各种配置;
它还可以处理订阅内容管理，并审计所有已部署的软件包;
借助Katello，你可以为所有主机创建主机群，另外还可以在单一主机或一群主机上批量执行操作。
7. Nagios
Nagios现在名为Nagios Core，它是一种开源自动化和监控工具，可以管理基础设施中的所有系统。它还提供警报服务，一旦察觉到你的网络中哪里有问题，就会提醒系统管理员。借助SNMP以及Nagios，系统管理员还可以控制并管理打印机、路由器和交换机。Nagios让我们得以创建事件处理工具，一旦某个应用程序及其服务停运，就可以自动重启出现故障的那个应用程序及其服务。

5. 自动化部署工具jenkins，从此摆脱重复单调的工作

它是基于Java开发的一种持续集成工具，用于监控持续重复的工作，旨在提供一个开放易用的软件平台，使软件的持续集成变成可能。

有了它你可以免除手工编译，发布代码，上线更容易。节省的时间你可以喝杯咖啡，放松一下 ^_^

道路千万条，熟悉第一条，我这里使用 Red Hat 家族衍生的 centos 上安装Jenkins。

这里可以下载rpm包： http://pkg.jenkins-ci.org/redhat/

也可以如下操作：

安装

将Jenkins存储库添加到yum repos，并从此处安装Jenkins。

安装稳定版

还有一个LTS YUM资源库的LTS版本线

安装Java

Jenkins需要Java才能运行，但默认情况下某些发行版不包含此内容。要安装Open Java Development Kit（OpenJDK），请运行以下命令：

安装完成后Jenkins 启动之前的注意事项

默认情况是Jenkins是使用Jenkins用户启动的，但这个用户目前系统并没有赋予权限，这里我们将启动用户修改为root；另外Jenkins默认端口是8080，这个跟tomcat的默认端口冲突，我们也修改一下默认端口。

找到 JENKINS_USER 和JENKINS_PORT ，修改为root和你需要的端口

启动/停止

注意：如果收到以下错误消息，请确保已安装Java：

Starting jenkins (via systemctl): Job for jenkins.service failed. See 'systemctl status jenkins.service' and 'journalctl -xn' for details.[FAILED]

禁用防火墙

有关CentOS Java的重要说明

Jenkins需要Java才能运行，但yum install jenkins不强制已经安装了java。检查以确保您已通过运行安装了hava java java -version。为了进一步使CentOS用户感到困难，默认的CentOS版本的Java与Jenkins不兼容。Jenkins通常最适合使用Java的Sun实现，由于许可原因，它不包含在CentOS中。

如果您获得类似于以下内容的输出，则表示您使用的是Java的默认（GCJ）版本，该版本不适用于Jenkins：

要解决此问题，您可能需要删除GC的GCJ版本并安装Sun兼容版本。

如果收到上面的输出，请卸载默认的java：

然后在卸载Java之后（或者如果你根本没有安装Java那么开始）。您需要安装与Sun兼容的Java版本。最简单的方法是使用OpenJDK，它可以通过EPEL存储库获得（或者您可以直接从Oracle安装官方 RPM）。要安装OpenJDK，请运行以下命令：

根据您的CentOS版本，OpenJDK的软件包名称可能有所不同。使用yum search openjdk来检查包的名称。如果通过yum找不到OpenJDK，则可能需要安装EPEL yum存储库。安装后，您应该能够获得以下java -version输出：

Ok，到此jenkins安装完成。

接下来你可以在浏览器地址中输入Jenkins网址，如：IP:端口，将显示如下内容：

拷贝指定文件密码，进入用户自定义插件界面，建议选择安装官方推荐插件:

接下来是进入插件安装进度界面:

等待一段时间之后，插件安装完成，配置用户名密码:

OK，你可以使用jenkins来编译、发布你的代码了。oh，它支持从代码库中直接拉取代码，git、svn都支持。赶快使用你的Spring boot、go试试吧。

6. Jenkins+Rancher自动化部署

本文主要记录Jenkins+Rancher+k8s自动化部署相关配置说明，不涉及rancher和jenkins安装部署，包含java server项目、WAR项目、前端VUE项目部署配置介绍。

服务器环境信息：

需要在安装jenkins服务上部署下面相应的软件，请注意软件版本，如已经安装相关软件，可跳过此章节。

需要安装rancher-cli，并且使用jenkins用户预先登录rancher平台：命令参考：

--token：这个用户的token建议设置为永不过期，在rancher管理端 -> api&key > 添加。

建议安装阿里镜像，提高编译速度：

jenkins启动用户需要添加到docker组中：

项目主要是java和vue开发的，所以需要安装Maven Integration plugin插件。

spring boot或者spring cloud自带容器，以及其它服务类型的java后端应用部署。

1、填写项目名称，选择"构建一个maven项目"

点击下面"OK"按钮

2、填写项目描述信息

3、输入项目地址，并选择用户凭证

本文通过conding.net作为代码管理平台，点击"Add"添加自己账号凭证（输入coding.net平台登陆账号密码即可）。

4、配置maven编译脚本

5、编写rancher部署脚本

Dockerfile参数说明：FROM：选择基础镜像包，该项目是用java语言开发需要jdk1.8所以选择openjdk:8ADD：将bRule-deploy-1.0.0.tar.gz文件解压并上传到镜像的brule目录EXPOSE：容器内部启动2002端口，根据自身项目填写指定端口，多个端口填写多行EXPOSE标签ENTRYPOINT：容器启动时执行的命令，执行多条命令使用&&拼接，命令行中带&需要加上转移符\&，使用tail -fn监听应用日志，以便容器日志查看。

用于创建docker镜像，就好比创建一个已经安装并且配置好了应用程序的操作系统镜像。

参数说明：192.168.100.21:5000：为本地docker镜像服务器地址brule:latest：应用名称，根据自身项目名称修改

利用上面创建好的操作系统镜像启动一个vmware虚拟机，创建k8s容器。

参数说明：brule：应用名称，根据自身项目名称修改，应用名称规范?(.?)*image：刚才创建的docker镜像containerPort：容器启动端口，多个端口使用多行containerPort标签声明，端口限制在【30000-32000】

前面vmware虚拟机创建好后，怎么能让别人访问？这个时候就需要创建一个网络服务，用于打通路由器与vmware本地虚拟机的网络。

参数说明：brule：应用名称，根据自身项目名称修改port：容器启动端口nodePort：对外提供服务端口，外部机器访问

将上面配置好的shell脚本复制到Post Steps -> 执行shell文本域中，并点击"保存" -> "立即构建"即可部署。

1、进入刚才创建好的jenkins任务，点击立即构建

2、点击左下角构建任务，选择"Console Output"，查看构建日志

3、登录rancher管理平台，查看构建好的应用

基于J2EE项目的war包部署，前面操作都一致，只是shell部署脚本稍有不同，这里主要详细说明rancher部署脚本。

Dockerfile参数说明：FROM：选择基础镜像包，war统一使用tomcat容器部署，tomcat:8.5-jre8-slimADD：将operation.war文件解压并上传到镜像的/usr/local/tomcat/webapps/目录EXPOSE：容器内部启动8080端口，根据自身项目填写指定端口，多个端口填写多行EXPOSE标签

这里不需要配置ENTRYPOINT标签，因为tomcat镜像包中已经有了。

用于创建docker镜像，就好比创建一个已经安装并且配置好了应用程序的操作系统镜像。

参数说明：192.168.100.21:5000：为本地docker镜像服务器地址operation:latest：应用名称，根据自身项目名称修改

利用上面创建好的操作系统镜像启动一个vmware虚拟机，创建k8s容器。

参数说明：operation：应用名称，根据自身项目名称修改image：刚才创建的docker镜像containerPort：容器启动端口，多个端口使用多行containerPort标签声明，端口限制在【30000-32000】

前面vmware虚拟机创建好后，怎么能让别人访问？这个时候就需要创建一个网络服务，用于打通路由器与vmware本地虚拟机的网络。

参数说明：operation：应用名称，根据自身项目名称修改port：容器启动端口nodePort：对外提供服务端口，外部机器访问

将上面配置好的shell脚本复制到Post Steps -> 执行shell文本域中，并点击"保存" -> "立即构建"即可部署。

基于webpack构建的VUE项目部署，前面操作都一致，只是shell部署脚本稍有不同，这里主要详细说明rancher部署脚本。

Dockerfile参数说明：FROM：选择基础镜像包，前端统一使用tomcat容器部署，tomcat:8.5-jre8-slimCOPY：将/dist目录上传到镜像的/usr/local/tomcat/webapps/fastquery/目录EXPOSE：容器内部启动8080端口，根据自身项目填写指定端口，多个端口填写多行EXPOSE标签

这里不需要配置ENTRYPOINT标签，因为tomcat镜像包中已经有了。

用于创建docker镜像，就好比创建一个已经安装并且配置好了应用程序的操作系统镜像。

参数说明：192.168.100.21:5000：为本地docker镜像服务器地址operation:latest：应用名称，根据自身项目名称修改

利用上面创建好的操作系统镜像启动一个vmware虚拟机，创建k8s容器。

前面vmware虚拟机创建好后，怎么能让别人访问？这个时候就需要创建一个网络服务，用于打通路由器与vmware本地虚拟机的网络。

参数说明：shutcm-fastquery-web：应用名称，根据自身项目名称修改port：容器启动端口nodePort：对外提供服务端口，外部机器访问

将上面配置好的shell脚本复制到Post Steps -> 执行shell文本域中，并点击"保存" -> "立即构建"即可部署。

7. 如何实现企业应用部署自动化

目前市场上将机器人流程自动化定位为无代码的用户端计算机工具，由业务部门拥有并运行，实现日常工作任务的自动化并带来可量化的经济效益。它可以降低业务部门对传统IT自动化方案的依赖，提高效率与准确性，降低运营风险，实现对高昂人力的重新部署，以重新聚焦于创造价值的活动。

但与此同时，行业分析公司Gartner在其2019年的报告中大胆预测，到2021年，将有近40%的企业因为使用不当、使用场景单一和无法扩展而后悔购买机器人软件。如何打造可持续发展的企业流程自动化能力，解锁虚拟劳动力所带来的全部红利，成为了企业需要认真思考的问题。

在实践中，虽然有很多公司开始尝试部署及应用机器人流程自动化，但往往仅在一开始取得了很好的效果，后来却停滞不前，未能充分发挥虚拟劳动力的潜力。为什么会有这样的结果？是哪些因素阻碍了机器人流程自动化达到其预期的效果？

我们依据实施及使用机器人流程自动化的经验和专业知识，总结出了成功实施企业级流程自动化的三大关键要素，即战略、运营模式及人员。

企业需要从战略层面考虑如何定位、利用及实施流程自动化

机器人流程自动化在应用操作层面具有良好的集成能力，其项目的实施极为迅捷并拥有相对友好的用户界面，这使得很多企业将机器人流程自动化视为战术性解决方案。例如，对旧系统之间的集成、填补其他企业应用程序留下的自动化空白并最终使员工从重复性任务中解脱出来。

机器人流程自动化的高投资回报率虽然可以通过战术性的实施来实现，但如果企业能够更有战略性地使用并部署虚拟劳动力，则会享受到更多红利。尽管速赢这个概念在流程自动化实施的过程中非常有效，但仅仅基于某个单项指标选择要实施的流程是错误的。将虚拟劳动力提升至企业战略层面意味着在选择业务流程时，要考虑到协同效应，并且将根据必要的部署规模和时间来建立相应的业务案例。领导层的战略支持对于企业打造可持续发展的机器人流程自动化能力至关重要。原因出自于以下四个方面：

1.构建有说服力的业务案例

理论上讲，机器人通过7天×24小时的不间断工作，可以完成大约五名全职员工的工作量（FTE），处理任务的速度平均比人工快25%，并且消除了流程步骤之间的空闲时间，尤其是需要由多人协同处理某项流程时。因此，通常情况下，业务案例是基于一个机器人至少完成三到四名全职员工的工作量所构建的。但是，仅通过战术性部署机器人流程自动化并无法实现期望的结果。因为要实现这些目标，公司必须实施足够数量的自动化流程。例如，当所有流程因为业务需要只能在白天完成时，企业只利用了能够全天候工作的虚拟劳动力三分之一或一半的能力。

2.从简单流程扩展到复杂流程

在机器人流程自动化实施的初期，企业一般会聚焦于相对简单的流程，逻辑清晰，实施敏捷，加上足够的交易量，可以很容易构建出相关的业务案例。但为了确保机器人流程自动化的可持续发展，企业必须尽快找到可实施相关技术的新领域和机会，其中可能包括更为复杂的流程。幸运的是，现在的虚拟劳动力已经变得更加智能。通过将机器人流程自动化融入到企业的整体数字化战略之中，与企业所应用的其他前沿技术相结合（如文字识别、自然语言处理、机器学习、人工智能等），将创造出更多应用虚拟劳动力的场景。

3.专注于企业流程的标准化及优化

我们在为企业实施流程自动化的时候会经常发现，现有流程的设计未必是最优状态。流程的步骤及逻辑可能未必清晰，总部与分/子公司的流程未必统一。机器人流程自动化的实施是企业优化其流程的一个契机。虽然同时完成流程重建及自动化实施将花费更长的时间，但其所能带来的结果将更为可观。

4.确保机器人流程自动化融入企业IT战略

从技术层面考虑，应用机器人流程自动化或将影响企业 ERP 部署的安排（延长ERP系统迭代间隔期），作为企业旧系统的新集成方式，并有可能将 IT 资源从日常的API 接口开发和维护中解放出来。预先了解机器人的特性，将帮助机器人流程自动化融入到企业的整体 IT 战略规划中。

创建可持续发展的运营模式，管理开发与实施风险及后续维护方案

在企业完成其虚拟劳动力的战略规划后，需建立一套可持续发展的运营模式（如数字化虚拟劳动力卓越中心），确保战略的落地实施。在起步阶段，企业应重点关注流程识别、自动化实施、运维管理及持续创新这四大职能，而非人员数量的多少。

打造可持续发展的企业流程自动化能力需要关注战略、运营模式、人员三大要素，缺一不可。如果实施得当，虚拟劳动力的能力是巨大的，其产生的结果也是惊人的。然而，为了充分获得虚拟劳动力所带来的红利，企业必须从战略上实施机器人流程自动化，并对机器人的开发和持续运营的资源投入进行认真管理。战略性实施需要有说服力的业务案例，从简单的流程到复杂的流程，并将机器人流程自动化作为总体流程改进的一部分，将其融入企业的整体IT技术方案之中。

另外，企业不应忽视流程上线后对机器人的持续监督需求。数字化操作和人工操作一样，都需要监督。一旦第一台机器人投入使用，就需要持续进行监督。监督涉及到管理工作队列、日程安排、执行规则和支持，以及机器人的端到端可视性、机器人活动的实时仪表板，以及实施自动化与控制和调度的职责分离。任何机器人流程自动化的实施都必须考虑到对这种新能力的要求及其与现有运营模式的整合。

*以上内容引用、整理与转载自“安永EY”

8. 【译】持续交付--自动化发布流程

标签（空格分隔）： 翻译
原文地址： Continuous Delivery - Automating the Release Process

对于很多开发者来说，发布版本的那天都会陷入巨大的压力。发布过程中总是有些风险，比如出现某些莫名其妙的问题，或者是产品里又被发现了某个bug。在我上一家公司，我们采取的是手动发布版本，过程基本都是人工去做的，因此，特别容易出现问题。在发布当天，DevOps（译者：看网络是怎么描述 DevOps 的职责）部门会加载二进制的运行文件，然后做用户验收测试。如果所有的测试都成功，软件就会复制到服务器上，进行冒烟测，一般来说，还会进行一次前一版本的用户验收测试。下面列举出通常都会遇到的问题：

简单的说，手动和没有固定的发布流程绝不是好的选择，发布那天总会承受很大的压力。在我们的案子里，如果发布不是很频繁，团队也还不够成熟时，这样的方式是可以接受的。为了改进和自动化发布流程，有一种软件工程的方法叫持续交付。

持续交付使得发布新的功能更快更稳定。同时可以让开发者更及时的收到反馈 。我们开发一套软件，可以在任何时候自动安全的部署到产品上。这就确保了发布里的每一次改动，都会发布到类似真实产品环境上，并且可以运行大量的自动化测试。按照 Martin Fowler 的理论，如果你做到以下的了，那么就称得上是持续交付：

持续交付，是持续集成（CI）的一个重要的先决条件。持续集成要求任何新的改动都可以快速的集成到主分支上， 整个项目一直都处于开发状态中 。通常来说，它是这么工作的：一旦有改动发布到github上，就会重新编译部署。整个应用都会按照所要求的配置去编棚晌和译， 一系列单元以及集成测试都会重新运行 。如果测试失败，团队会停止工作直到修复了问题。没有了持续集成，集成很容易就变成梦魇。当我启动一个新的项目的时候，如何持续集成会是我考虑的首要事情。
我看到过很多的案例，整个团队都不想关注那些出了问题的编译。这通常都发生在持续集成过程已经变成了巨大多毛的怪兽的时候。这也有违持续集成的首要目标： 出了问题的版本决不能被忽视，团队的首要任务就应该是去修它们 。为了确保这件事，持续集成的过程应该尽可能的短，好使，简单。如果测试的运行会占用过多的时间，不可靠也不能帮助定位问题，那么团队就会不去尝试修改问题版本，甚至互相推诿责任，说是别的团队弄坏了版本。
持续集成主要是在关注开发团队。 持续集成里也可能会有手动去发布版本的过程 。在我们做过的案例里，也有手动的拷贝二进制文件和对应的配置文件到演示和生产环境里的。与之相反的是，持续交付会将整个发布流程自动化。为了达到这一目标，我们使用了一条流水线，这条流水线有非常清晰的阶段和对应的过程。

一条持续谨汪交付的流水线是让你的新版本发布出去的流程的集中体现。按照 Martin Fowler的理论：

一个典型的持续交付过程如下：

决定这条持续交付流水线成功与否的部分就是验收测试，验收测试位于这条流水线的较靠后的阶段，也就是“更多靠摸索”的阶段。他们确定软件能满足用户的需求和指标。验收测试不应暴露内部系统的细节，应该就像对待黑盒一样对待。我们的验收测试会由模拟一个真正的用户会输入的内容，接受并验证系统的输出并验证这些输出是否符合预期。

在持续交付的流水线上，从一个阶段转到下一个阶段可以使手动，也可以是自动的。手动并不意味着把内容拷贝复制到下一个流程中。它只是意味着，操作人员需要标记一下，表示现在的阶段已经完成，可以转交到下一个阶段了，而这个过程通常会需要手动的按一下按钮。

持续交付的流水线能在确定了交付流程之后被定型下来。没有所谓的标准答案：一个流程总会和另一个看上不太一样。举个例子，在一个有很多独立组件的SOA项目里，我们觉得一个为所有的组件制定一个流程是最好的方案。而另一个项目要求给每一个组件都制定独立的流程，而整合到一起之后的流程链盯，可以参考下图。

实现一个好的持续交付流程是一个让人沮丧的任务，但是一旦完成好了，会产生巨大的好处。在我看来，最好的方式就是仔细研究你的部署过程，理解所有的依赖关系，从一些比较小而且简单的地方开始入手。

持续交付中，总需要有人最终去确定把产品部署到生产环境中。一个典型就是，发布的软件发生了一些变动之后或者是在固定的日子。

而持续部署比持续交付则更进一步：每一次改变，只要通过了自动化测试就会自动的部署到生产环境。持续部署可能不适用于所有的项目，即使理论上听上去很棒，但是我可以肯定，我目前还没有在商业项目里尝试过这种方式。Yassal Sundman的博客上有一副图，是比较持续交付和持续部署的过程：

对于持续交付的工具我没有特别的个人偏好。最近我开始在使用AWS的CodePipeline（和AWS的CodeDeply类似）去自动化AWS云上的交付流程，我对此这个工具非常满意。

9. Windows自动化部署（五） 软件、系统补丁导入

上文写到导入OS映像及分类导入驱动信息，这一章我们接上文继续添加APP软件包及Packages。在添加软件包的时候要记得将软件放到对应的软件目录中，方便添加，另一方面：我们在添加Applications之前，要在本地测试出软件对应的静默安装方式或者查看官方软件介绍等：
常用软件静默参数

一、软件导入：
1.1、为应用程序建立文件夹，与之前新建文件夹方式相同：

1.2、输入对应文件夹名称：

1.3、摘要信息：

1.4、Next后等待文件夹创建完成。
1.5、选择Application下新建文件目录，鼠标右键选择New Application：

1.6、选项Application with source files，下一步：

1.7、指定版本、名称和语言：

1.8、选择应用程序存放目录位置：

1.9、即将创建的目录名称：

2.0、应用程序执行安装命令：

2.1、摘要信息：

2.2、单击”Finish”完成Java应用程序的添加：

2.3、Java添加后显示界面如下：

右键单击新添加Application查看对应属性如下：

注：
我们在本地可以通过下氏蔽一步下一步安装java，同样我们在Dos命令下安装java。MDT部署软件的功能与此类似：
附：静默安装Java方式方法：
Java 安装是使森型用 Microsoft Window Installer (MSI) 2.0 技术构建的。MSI 包含对静默或无人参与安装的内置支持。命令行安装简介：
Java脱机安装程序命令具有以下语法：
<jre>.exe [/s] [INSTALLDIR=<驱动器>:<JRE_install_path>] [STATIC=1] [WEB_JAVA=0/1] [WEB_JAVA_SECURITY_LEVEL=VH/H/M/L]
其中
<jre>.exe 是适用于 Java 的单个可执行安装程序。
/s（如果使用）表示静默安装
INSTALLDIR（如果使用）指定 JRE 的驱动器和路径。
如果未指定 INSTALLDIR，则将安装到 C:Program Filesjavajre（默认位置）。
STATIC=1（如果使用）指定静态安装。此选项适用于 6u10 和更高版本。有关详细信息，请参阅静态安装。
WEB_JAVA=0（如果使用）禁止在浏览器中运行任何 Java 应用程序。
WEB_JAVA=1（默认值）允许在浏览器中运行 Java 应用程序。此字段自 7u10 发行版起可用。有关详细信息，请参阅设置 Java 客户机的安全级别。
WEB_JAVA_SECURITY_LEVEL（如果使歼春州用）：设置在浏览器中运行的未签名 Java 应用程序的安全级别。此字段的可能值为“V”（非常高）、“H”（高）、“M”（中，默认值）或“L”（低）
同理添加Office****：

指定对应命令，此处config.xml是单独配置生成的，后续会尽快补上有关自动部署应答包生成方法：

二、系统补丁导入 ：
1.1、右键要导入补丁的文件夹，选择“Import OS Packages”：

1.2、补丁路径，Next：

1.3、摘要信息：

1.4、导入完成：

1.5、添加完成后控制台显示如下：

如果添加补丁包后系统部署总是报错，建议各位将暂停这个补丁更新方式，直接在本地封装WIM镜像之前对系统进行补丁更新，这样可以避免此类问题的出现。
到这里，整个导入工作都已完成，后续文章会为大家介绍有关Office 2013自动部署应答文件的生成以及通过Powershell创建文件目录、添加对应OS、APP、Packages、Drivers 。希望大家多多关注，谢谢。

原文： http://home.51cto.com/bbs/get-user-threads?uid=6370734&page=6&per-page=8

10. 安全编排和自动化的好处:SOAR如何帮助改进事件响应

据全球保险公司Gallagher的数据，平均每小时有800起袭击袭击了76个英国议会。如此大规模的攻击并不罕见，也不是什么新鲜事。2013年，加州大学伯克利分校(UC Berkeley)的数据科学博客报道称，美国海军每小时遭遇11万次网络攻击。

想象一下，作为一个安全操作中心(SOC)的分析师，试图管理这么多的警报。这就是安全性编排、自动化和响应(SOAR)的用武之地。通过将来自不同安全设备的警报关联起来，自动化任务，并为事件处理提供剧本，将SOAR集成到您的SOC中，可以提高效率和有效性。

SOAR的最终目标是在面对成千上万的安全警报时，提高SOC进程的效率并改善事件响应 。人员、流程和技术都有助于高效和有效的事件响应。然而，SOAR最终依赖于几个组件来提供逐步的事件响应计划。SOAR的三个主要部分是:

（1）安全编排是将来自不同的安全和网络工具的警报放入可操作的上下文中的过程，其中包含手动和/或自动处理警报的过程。

（2）安全自动化减少了人们处理重复性任务和警报的需要，这些任务和警报可以自动解决。

（3）事件响应是一组用于计划和实施处理事件所需的步骤的过程和技术。

安全编排和自动化用于卸载低优先级和重复的任务，允敏漏许您的SOC分析人员执行更高价值的工作，从而进一步改进事件响应。通过安全自动化和事件响应剧本，SOAR可以构建最少(如果有的话)人工干预的工作流。

那么，SOAR如何使事件响应更加有效和高效呢?让我们来看看一些主要的好处。

1)响应时间更快

安全编排将来自不同系统的多个相关警报( alerts )聚合为单个事件(incident)。 为了节省更多的时间，安全自动化使系统能够在不需要人工干预的情况下响应警报。将上下文与文本数据结合起来，并将自动化应用到决策过程中，可以实现更快的警报处理过程。

2)优化威胁情报

威胁情报提供有用的信息，但往往是一棵树倒了，没有人听到。 SOC分析人员经常要处理信息过载的问题。将威胁情报添加到这一组合中，可以收集到更多的信息进行分类。最好的SOAR平台可以获取威胁情报，并自动将其与实时事件联系起来 。这减轻了SOC分析人员的负担，并为事件响应团队提供了可立即采取行动的信息。

3)减少人工操作和标准化流程

安全自动化减轻了SOC分析人员单调、重复的任务，并将其包含在如何处理任何给定事件的整个流程中。一个好的SOAR平台会将这些任务合并到剧本中，从而制定出端到端的事件响应步骤。

4)简化操作

飞涨的每一项因素都有助于简化安全行动。安备拿弊全业务流程聚合来自各种来源的数据。与此同时，安全自动化可以通过使用自动化剧本轻松处理低优先级警报和事件。事件响应将最热门的猜测从事件处理中剥离出来，限制了网络攻击的驻留时间和对业务的整体影响。

5)降低网络攻击的影响

平均检测时间(MTTD)和平均响应时间(MTTR)是影响网络攻击对组织的影响的重要指标。检测和响应攻击所需的时间越长，所造成的损害就越大，对组织的影响也就越大。

SOAR 使MTTD和MTTR最小化。通过为每个事件提供上下文丰富的详细信息，安全业务流程减少了MTTD，从而使分析人员能够减少收集信息的时间，而将更多的时间用于调查警报。安全自动化通过实时自动响应警报和事件来减少MTTR。

6)简易的技术和工具集成

安全编排的好处之一是能够关联来自各种产品和技术的警报。这远远超出了 SIEM的范畴。一个SOAR平台应该能够与跨越各种安全技术的产品集成:

云安全

数据丰富

电子邮件安全

终端安全

取证和恶意软件分析

身份和访问管理

IT和基础设施

网络安全

SIEM和日志管理

威胁情报

漏洞与风险管理

将这些产品集成到您的SOAR平台应该很容易。自助服务市场可以快速访问特定产品的集成。从这里开始，集成就像单击按钮并将组件捕捉到剧本中一样简单。

7)降低成本

通过将SOAR平台集成到其业务模型中，一个典型的企业将会节省大量的成本。

90%的报告

80%的剧本创作

70%的警报处理

60%分析师培训

30%的值班管理

8)自动报告和度量功能

自动化报告不仅使仿族工作变得更简单，还消除了对手工生成的度量的需要。通过允许SOC工作人员按需提取报告(最好是单击一次)或自动按时间表提取报告，企业可以获得每个报告期间的可靠和及时的指标。为了进一步简化这个过程，大多数SOAR工具都提供了报告模板和生成自定义报告的能力。

9)事件响应过程中的标准化沟通

事件处理和响应常常需要触及SOC之外的地方，特别是对于重大事件。这意味着事件响应团队可以包括SOC内部和外部的涉众——这使得建立可靠的、可重复的信息流具有挑战性。

为了缓解这一问题，企业通常会形成一个任务控制中心来处理优先级最高的事件。一个好的SOAR平台将会有一个虚拟的战备室功能，以确保关键的沟通是标准化的，以防止任何团队成员，从PR到HR，从法务到高管，在事件响应过程中丢失关键信息。