Utforska OWASP ZAP-intrångstest

Slutförd

ZAP är ett kostnadsfritt intrångstestverktyg för nybörjare till proffs. ZAP innehåller ett API och en veckovis dockercontaineravbildning som integreras i distributionsprocessen.

Mer information om hur du konfigurerar integreringen finns i LAGRINGSPLATSEN FÖR OSWA ZAP VSTS-tillägg . Här ska vi förklara fördelarna med att inkludera det i din process.

Program-CI/CD-pipelinen ska köras inom några minuter, så du vill inte inkludera några tidskrävande processer.

Baslinjegenomsökningen är utformad för att identifiera sårbarheter inom ett par minuter, vilket gör det till ett bra alternativ för programmets CI/CD-pipeline.

Nightly OWASP ZAP kan spindel webbplatsen och köra den fullständiga aktiva genomsökningen för att utvärdera de flesta kombinationerna av möjliga sårbarheter.

OWASP ZAP kan installeras på valfri dator i nätverket, men vi vill använda dockercontainern OWASP Zap/Weekly i Azure Container Services.

Det möjliggör de senaste uppdateringarna av avbildningen. Det gör det möjligt att starta flera bildinstanser så att flera program i ett företag kan genomsökas samtidigt.

Följande bild beskriver stegen för program-CI/CD-pipelinen och den långvariga zap-pipelinen för OWASP.

The application pipeline as a nightly OWASP Zap pipeline.