Соответствует ли OWASP Zap всем требованиям? Может быть, это инструмент, который интегрирует и автоматизирует DAST в вашем конвейере?
В этом посте рассказывается о возможностях OWASP Zap в качестве инструмента динамического тестирования безопасности приложений (DAST) с учетом контекста DevSecOps, преимущественно автоматизированного использования и возможной интеграции в среду CI/CD в экосистеме GitHub.
Чтобы понять основы DAST, я рекомендую публикацию в блоге Вишала Гарга. Он охватывает определения, плюсы, минусы и соображения при внедрении инструмента DAST. Большое спасибо Вишалу — независимые писатели в сфере DevSecOps — большая редкость!
Мы изучим:
- Правила и уязвимости, покрываемые Zap
- Типы сканирования
- Дельта-сканы
- Аутентификация
- Интеграция CI/CD (выделение для GitHub Actions)
- Составление отчетов
- Процесс автоматизации
- Оптимизация сканирования
- Другие функции для галочки
Покрываемые правила и уязвимости
Zap имеет три типа правил сканирования для обнаружения уязвимостей: выпуск, бета и альфа. По умолчанию выполняются только правила выпуска. Каждый из них может быть пассивным или активным (с точки зрения использования вашего приложения).
Найти здесь список покрываемых уязвимостей. Существует также полезное руководство по компонентам Zap для тестирования на 10 основных уязвимостей OWASP.
Изменение правил по умолчанию
Вы можете настроить файл конфигурации, чтобы сделать сканирование более подходящим для вашего приложения. С точки зрения DevSecOps это может пригодиться для игнорирования определенных правил или прерывания конвейера при сбое проверки. Если вы хотите углубиться в настройку Zap, вы можете посмотреть это видео.
Пользовательские правила
В Zap можно создавать собственные правила с помощью скриптов. Есть также правила, созданные сообществом, которые вы можете использовать как дополнения.
Типы сканирования
Базовое сканирование
Это пассивно и быстро, но не очень тщательно. Он не атакует ваше приложение и…
