探索 OWASP ZAP 渗透测试
ZAP 是一种免费渗透测试工具,适用于初学者和专业人员。 ZAP 包括一个 API 和一个集成到部署过程的每周 docker 容器映像。
有关设置集成的详细信息,请参阅 OSWA ZAP VSTS 扩展存储库。 在这里,我们将说明将其纳入流程中的优势。
应用程序 CI/CD 管道应在几分钟内运行,因此你不希望包含任何长时间运行的进程。
基线扫描旨在几分钟内识别漏洞,使其成为应用程序 CI/CD 管道的良好选择。
夜间 OWASP ZAP 可以抓取网站并运行完全主动扫描,以评估可能出现漏洞的最多组合。
OWASP ZAP 可以安装在网络的任何计算机上,但我们希望使用 Azure 容器服务中的 OWASP Zap/每周 docker 容器。
它允许对映像进行最新更新。 它将启动多个映像实例,以便可以同时扫描企业中的若干应用程序。
下图概述了应用程序 CI/CD 管道和运行时间较长的夜间 OWASP ZAP 管道的步骤。
