OWASP ZAP 침투 테스트 살펴보기
ZAP는 초보자부터 전문가까지 모두를 위한 무료 침투 테스트 도구입니다. ZAP에는 배포 프로세스에 통합되는 API 및 주간 Docker 컨테이너 이미지가 포함되어 있습니다.
통합을 설정하는 방법에 대한 자세한 내용은 OSWA ZAP VSTS 확장 리포지토리를 참조하세요. 여기서는 프로세스에 포함할 경우의 이점을 설명하겠습니다.
애플리케이션 CI/CD 파이프라인은 몇 분 이내에 실행되어야 하므로 장기 실행 프로세스는 포함하지 않을 것입니다.
기준 검사는 몇 분 내에 취약성을 식별하도록 설계되어 애플리케이션 CI/CD 파이프라인에 적합한 옵션입니다.
야간 OWASP ZAP는 웹 사이트를 스파이더링하고 전체 Active Scan을 실행하여 가능한 가장 많이 조합된 취약성을 평가할 수 있습니다.
OWASP ZAP는 네트워크의 모든 컴퓨터에 설치할 수 있지만 Azure Container Services 내에서 OWASP Zap/주간 Docker 컨테이너를 사용하려고 합니다.
이미지에 대한 최신 업데이트를 허용합니다. 이를 통해 여러 이미지 인스턴스를 실행할 수 있으므로 엔터프라이즈 내 여러 애플리케이션을 동시에 검사할 수 있습니다.
다음 그림은 애플리케이션 CI/CD 파이프라인의 단계와 장기 실행되는 야간 OWASP ZAP 파이프라인의 단계를 간략하게 보여 줍니다.
