Erkunden des OWASP ZAP-Penetrationstests
ZAP ist ein kostenloses Tool für Penetrationstests für Einsteiger und Experten. ZAP umfasst eine API und ein wöchentliches Docker-Containerimage zur Integration in Ihren Bereitstellungsprozess.
Weitere Informationen zum Einrichten der Integration finden Sie im Repository OSWA ZAP VSTS Extension (OSWA ZAP VSTS-Erweiterung). Hier werden die Vorteile der Einbeziehung des Tools in Ihren Prozess erläutert.
Die CI/CD-Pipeline der Anwendung sollte innerhalb weniger Minuten ausgeführt werden, sodass Sie keine zeitintensiven Prozesse einbeziehen möchten.
Die Baselineprüfung ist darauf ausgelegt, Sicherheitsrisiken innerhalb weniger Minuten zu identifizieren, was sie zu einer geeigneten Option für die CI/CD-Pipeline von Anwendungen macht.
Der nächtliche OWASP ZAP-Prozess kann einen Spidervorgang für die Website und die Full-Active-Prüfung ausführen, um die meisten Kombinationen möglicher Sicherheitsrisiken auszuwerten.
OWASP ZAP kann auf jedem Computer in Ihrem Netzwerk installiert werden, aber wir möchten den Docker-Container „OWASP Zap/Weekly“ in Azure Container Service verwenden.
Er ermöglicht die neuesten Updates des Images. Er ermöglicht die Einrichtung mehrerer Image-Instanzen, sodass mehrere Anwendungen innerhalb eines Unternehmens gleichzeitig geprüft werden können.
In der folgenden Abbildung werden die Schritte für die CI/CD-Anwendungspipeline und die zeitintensivere Nightly OWASP ZAP-Pipeline beschrieben.
