Esplorare il test di penetrazione OWASP ZAP
ZAP è uno strumento gratuito per eseguire il test di penetrazione destinato a principianti e professionisti. ZAP include un'API e un'immagine del contenitore Docker settimanale da integrare nel processo di distribuzione.
Per informazioni dettagliate sulla configurazione dell'integrazione, vedere il repository dell'estensione VSTS di OSWA ZAP. Qui verranno illustrati i vantaggi dell'inclusione nel processo.
La pipeline CI/CD dell'applicazione deve essere eseguita in pochi minuti, quindi non includere processi a esecuzione prolungata.
L'analisi di base è progettata per identificare le vulnerabilità entro un paio di minuti, rendendola un'opzione valida per la pipeline CI/CD dell'applicazione.
Nightly OWASP ZAP può eseguire uno spider del sito Web ed eseguire l'analisi attiva completa per valutare le combinazioni più possibili di vulnerabilità.
OWASP ZAP può essere installato in qualsiasi computer della rete, ma all'interno di servizi Azure Container si preferisce usare un contenitore Docker OWASP ZAP/settimanale.
Consente gli aggiornamenti più recenti dell'immagine. Consentirà di attivare più istanze dell'immagine in modo che diverse applicazioni all'interno di un'azienda possano essere analizzate contemporaneamente.
Nella figura seguente vengono descritti i passaggi per la pipeline CI/CD dell'applicazione e la pipeline Nightly OWASP ZAP a esecuzione prolungata.
