如何在CI/CD中加入OWASP Zap

Question

公司想要开始提高安全性。测试团队使用OWASP工具(GUI版本)扫描新版本的漏洞。这通常需要半个小时到90分钟。

如何在CI/CD中以一种快速(5分钟以下)的方式将扫描包括进来，但仍然提供反馈？

Answer 1

扫描漏洞需要时间。如果你想要任何工具对你的网站执行一个彻底的主动扫描，那么它将需要时间。

但是，您可以使用ZAP基线扫描，它只对站点执行一分钟的爬行(默认情况下)，然后执行被动扫描-- https://www.zaproxy.org/docs/docker/baseline-scan/ --这将拾取丢失的安全标头和丢失的反CSRF令牌。

您仍然可以按计划执行完整的ZAP扫描，例如每周一次。