Zap2Docker自定义扫描规则

Question

我试图找到一种方法来编写自己的OWASP扫描规则，以便使用zap2docker的baseline_scan.py运行基线扫描，并在由"-c“指定的docker配置文件中定义规则的严重性(info/warn/ file )

在查看ZAP存储库时，我已经找到了一个规则的源文件，例如10055，并且希望创建类似的东西，只是在这样的情况下，我不会被迫创建自己的坞库映像，并且可以从CI/CD管道中加载此规则。

是否有任何方法可以创建自定义的ZAP规则和，并以定义的严重性作为baseline_scan的一部分运行它？

Answer 1

是的..。但这可能是不平凡的。你有几个选择：

1. 在开始扫描之前，编写一个包含规则的新ZAP加载项，并将其复制到停靠器映像中的正确位置。
2. 编写脚本被动扫描规则并配置ZAP以在启动时加载它

要获得更多的帮助，做这两件事，ZAP用户组是最好的地方问：https://groups.google.com/group/zaproxy-users