我们是否可以对每个提交运行静态分析以识别Web应用程序中的安全问题?
Web应用程序是使用.Net framework 4.0构建的 詹金斯用于CI 我已经通过了Owasp Zap工具。我能找到两种选择, 1.编写selenium脚本以自动登录应用程序并在构建服务器中设置OWASP Zap。 2.配置OWASP Zap工具授权机制以登录Web应用程序。
我非常喜欢第二种方法。
答案 0 :(得分:1)
对于任何体面的安全静态分析器(Fortify,AppScan,CheckMarx等等),静态分析不是一项快速活动,因此您更有可能每周或两周运行一次。然而,这些静态分析仪的制造商面向较大的公司,而较小的公司许可它们是不寻常的。
更简单的静态分析器,例如findbugs和FxCop(或者现在称之为的任何东西)可以更频繁地运行。有几次,我看到每次构建时都会在CI中运行findbugs。
对于Web应用程序,另一个选项是动态分析器,例如OWASP ZAP,它针对CI管道中的自动扫描。这个工具是免费的,有很好的博客和youtube视频关于将它放在CI管道中。
另一个很棒的工具是Contrast Security,它不是静态分析,而是“IAST”。此工具在测试阶段运行,并在发生危险的函数调用时捕获。我相信该工具主要用于Java,.Net和前端代码。不确定小公司的合适程度。
告诉我们有关您的CI管道,您正在使用的语言和框架以及您感兴趣的工具的更多信息,您可以获得更好的答案。