私たちはすでに、ビルド、単体テストの実行、静的コード分析、ドキュメントの生成に向けた継続的な統合プロセスを行っています。ただし、これを拡張して自動セキュリティ テストを含めたいと考えています。この場合、私たちは .NET Web アプリケーションに取り組んでいるので、CI 設定で特に優れた XSS および SQLi スキャナー (初心者向けのコマンド ライン経由で呼び出される) と、静的コード分析の可能性があるに違いないと考えています。セキュリティに重点を置いたツール。
では、CI の一部として自動セキュリティ テストを含めますか? 何をテストし、どのツールを使用しますか? あなたの経験はどのようなものでしたか?