我们已经有一个持续集成过程,我们在其中构建、运行单元测试、进行静态代码分析和生成文档。但是,我们希望将其扩展为包括自动安全测试。在这种情况下,我们正在开发一个 .NET Web 应用程序,所以我认为必须有一些 XSS 和 SQLi 扫描器在 CI 设置中特别好(通过命令行调用初学者),并且可能进行一些静态代码分析专注于安全的工具。
那么,您是否将自动安全测试作为 CI 的一部分?你测试什么,你使用哪些工具?你的经历是怎样的?
user479911
问问题
705 次
2 回答
1
我们现在正在使用 ZAP 在 Mozilla 中执行此操作,并且我正在与也在以相同方式使用它的其他各种公司合作。
维基上有一些信息,包括视频。
基本上你:
- 以守护程序模式启动 ZAP(无 UI)
- 代理您通过它进行的任何功能测试
- 使用 REST API 运行爬虫来覆盖你的测试没有覆盖的东西
- 运行活动扫描仪
- 检索任何警报,然后使构建失败(如果相关)
您可以直接或通过 Java 或 Python 客户端访问 REST API。如果您想要其他语言的客户并且可以提供帮助,那么我们可以解决这个问题。
在这方面还有很多工作要做(尤其是文档;)但它对我们(尤其是我)来说是一个高度优先事项。由于这有点前沿,我们倾向于在ZAP 开发人员组中讨论它,但我也很高兴在这里讨论它。
请注意,ZAP 不进行任何静态代码分析,但您也可以对此进行调查。
西蒙(ZAP 项目负责人)
于 2013-02-07T17:44:53.057 回答