-1
有沒有辦法,我們可以對每個提交運行靜態分析以識別Web應用程序中的安全問題?將安全測試集成到CI管道中
Web應用程序是使用.Net框架4.0構建的 Jenkins用於CI 我已經使用了Owasp Zap工具。有兩個選項,我可以找到, 1.編寫一個selenium腳本來自動登錄應用程序,並在構建服務器中設置OWASP Zap。 2.配置OWASP Zap工具授權機制以登錄到Web應用程序。
我很喜歡用第二種方法。
A
回答
0
對於任何體面的安全靜態分析器(Fortify,AppScan,CheckMarx等),靜態分析不是一個快速的活動,所以你更可能每週或兩週運行一次。但是,這種靜態分析儀的製造商針對的是大公司,小公司通常會授權他們。
更簡單的靜態分析器,如Findbugs和FxCop(或者他們現在稱之爲的任何東西)可以更頻繁地運行。有幾次,我在每次構建期間都看到findbugs在CI中運行。
對於Web應用程序,另一個選項是動態分析程序,例如OWASP ZAP,它將CI管道中的自動掃描作爲目標。這個工具是免費的,有很好的博客和youtube視頻關於把它放在CI管道中。
另一個偉大的工具是對比度安全,它不是靜態分析,而是「IAST」。此工具在測試階段運行,並在發生危險函數調用時捕獲。我相信這個工具主要用於Java,.Net和前端代碼。不知道它適合小公司。
告訴我們更多關於您的CI管道,您使用的語言和框架以及您感興趣的工具,並且您可能會得到更好的答案。
相關問題
- 1. 將慢UI測試集成到CI部署管道中
- 2. 將聚合物測試構建過程集成到Jenkins CI/CD管道中
- 3. 將SoapUI測試集成到Team Foundation Server CI中?
- 4. 如何將HTTP測試集成到我的CI中
- 5. Jenkins運行故障安全集成測試儘管-DskipITs
- 6. 特拉維斯CI:後全成測試
- 7. 集成測試 - 此操作需要IIS集成管道模式
- 8. 與廚房集成測試CI
- 9. IBM worklight適配器與安全測試的集成測試
- 10. 將SourceMonitor集成到Jenkins CI系統中
- 11. Django測試:獨立的單元和集成測試Travis CI
- 12. 管道輸出到HG CI
- 13. 如何在VSTS CI管道中執行量角器e2e測試?
- 14. 將JMeter性能測試與Jenkins CI集成
- 15. Automate Rest API測試並將其與持續集成(CI-Jenkins)相集成
- 16. Jenkins和GitLab CI與Multibranch和個別管道集成
- 17. 集成安全
- 18. 集成安全
- 19. Kubernetes CI/CD管道
- 20. 軌道中的自動測試如何運行集成測試?
- 21. VSTS/TFS集成Visual Studio編寫的UI測試構建管道
- 22. 如何在本地測試我的jenkins ci管道?
- 23. 將A/B測試集成到Magnolia
- 24. 在Jenkins中玩框架服務集成測試CI
- 25. CI CD工作流程中的集成測試範圍
- 26. 將webpagetest.org與CI Jenkins集成
- 27. 如何將monkeyrunner集成測試與emma覆蓋測試集成?
- 28. IPC安全命名管道
- 29. Powershell命名管道安全?
- 30. 命名管道的安全