1

私たちはすでに、ビルド、単体テストの実行、静的コード分析、ドキュメントの生成に向けた継続的な統合プロセスを行っています。ただし、これを拡張して自動セキュリティ テストを含めたいと考えています。この場合、私たちは .NET Web アプリケーションに取り組んでいるので、CI 設定で特に優れた XSS および SQLi スキャナー (初心者向けのコマンド ライン経由で呼び出される) と、静的コード分析の可能性があるに違いないと考えています。セキュリティに重点を置いたツール。

では、CI の一部として自動セキュリティ テストを含めますか? 何をテストし、どのツールを使用しますか? あなたの経験はどのようなものでしたか?

4

2 に答える 2

1

私たちは現在、ZAP を使用して Mozilla でこれを行っています。私は、同じ方法で ZAP を使用している他のさまざまな企業と協力しています。

ビデオを含むwikiに関するいくつかの情報があります。

基本的にあなた:

  1. デーモン モードで ZAP を開始する (UI なし)
  2. それを介して実行した機能テストをプロキシします
  3. REST API を使用してスパイダーを実行し、テストでカバーできないことをカバーします
  4. アクティブなスキャナーを実行する
  5. アラートを取得し、ビルドを失敗させます (該当する場合)

REST API には、直接、または Java または Python クライアントを介してアクセスできます。また、別の言語でクライアントを希望し、それを手伝うことができる場合は、それに取り組むことができます.

これにはまだやらなければならないことがたくさんありますが (特にドキュメント;)、それは私たち (特に私) にとって優先度の高いものです。これはちょっとしたエッジなので、ZAP 開発者グループで議論する傾向がありますが、ここでも喜んで議論します。

ZAP は静的コード分析を行わないことに注意してください。ただし、それも調べるのは正しいことです。

サイモン(ZAPプロジェクトリーダー)

于 2013-02-07T17:44:53.057 に答える
0

この時点での私の考えは、w3afOWASP Zedを見ることです。

于 2013-02-07T13:13:55.480 に答える