ZAP 및 GitHub Action을 사용한 보안 테스트

OWASP Zap 스캐너를 사용한 동적 애플리케이션 보안 테스트(DAST)

전제 조건

GitHub 계정

샘플 웹사이트( https://techconnectweb.azurewebsites.net/ ).
이 데모는 교육 목적으로만 사용됩니다. 자신의 책임하에 시도하십시오.

이 데모에서는 OWASP ZAP 전체 스캔을 사용하기로 결정했습니다.
GitHub Marketplace에서 찾을 수 있습니다.

데모 시작

GitHub Repo에서 작업 탭으로 이동합니다.

직접 워크플로 설정 ->을 선택합니다.

Marketplace로 이동하여 OWASP를 검색하고 OWASP ZAP 전체 스캔을 선택하면 샘플 워크플로 스니펫이 표시됩니다.

아래와 같이 워크플로 스니펫을 수정하고 샘플 웹사이트 URL로 바꿉니다. 수정 후 커밋 시작을 선택합니다.

name: zapfull-security-scan
on:
  push:
    branches: [ master ]
  pull_request:
    branches: [ master ]

jobs:
  build:
    runs-on: ubuntu-latest
    steps:     
    - name: OWASP ZAP Full Scan
      uses: zaproxy/[email protected]
      with:
        target: "https://techconnectweb.azurewebsites.net/"

5. 작업 탭으로 돌아가면 진행 중인 워크플로가 표시됩니다.

6. 빌드를 선택합니다. 진행 중인 워크플로우 설정 및 스캔.

7. OWASP ZAP를 통해 스캔을 완료하면 문제 탭에 보고서가 생성됩니다.

8. OWASP ZAP 전체 스캔 보고서에 대한 자세한 내용을 보려면 작업 탭으로 돌아가 아티팩트 zap_scan을 선택하십시오. 다운로드가 완료되면 아래와 같이 OWASP 보고서가 표시됩니다.

참조:
https://www.zaproxy.org/blog/2020-05-15-dynamic-application-security-testing-with-zap-and-github-actions/

Reference

이 문제에 관하여(ZAP 및 GitHub Action을 사용한 보안 테스트), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://dev.to/cheahengsoon/security-testing-with-zap-and-github-actions-4kae

텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.

우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)

좋은 웹페이지 즐겨찾기

개발자 우수 사이트 수집

개발자가 알아야 할 필수 사이트 100선 추천 우리는 당신을 위해 100개의 자주 사용하는 개발자 학습 사이트를 정리했습니다