Webアプリケーションのセキュリティ問題を特定するために各コミットで静的分析を実行できることはありますか?CIパイプラインへのセキュリティテストの統合
Webアプリケーションは.Net framework 4.0を使用して構築されています。 JenkinsがCI に使用されています。すでにOwasp Zapツールを使用しています。私が見つけることができる2つのオプションがあります 1.アプリケーションのログインを自動化し、ビルドサーバーでOWASP Zapを設定するためのセレンスクリプトを作成します。 2. WebアプリケーションにログインするためのOWASP Zapツール認証メカニズムの設定。
私はかなり第2のアプローチに行きたいと思います。
まともなセキュリティスタティックアナライザ(Fortify、AppScan、CheckMarxなど)では、静的解析は迅速なアクティビティではないため、週に2回、または2週間に1回実行する可能性が高くなります。しかし、このようなスタティック・アナライザのメーカーは、より大きな企業をターゲットにしており、中小企業がライセンスを取得することは珍しいことです。
findbugsやFxCopなどのより簡単なスタティックアナライザは、より頻繁に実行することができます。数回、私はすべてのビルド中にfindbugがCIで実行されているのを見ました。
Webアプリケーションの場合、別のオプションとして、OWASP ZAPなどの動的アナライザーを使用できます。これは、CIパイプラインの自動スキャンを対象としています。このツールは無料で、CIパイプラインに入れることについての良いブログやYouTubeのビデオがあります。
もう1つの大きなツールは、静的分析ではなく「IAST」であるコントラストセキュリティです。このツールはテスト段階で実行され、危険な関数呼び出しが発生したときにそれを検出します。私はこのツールが主にJava、.Net、フロントエンドのコードのために働いていると信じています。それが中小企業にとってどれほど適しているかわかりません。
CIパイプライン、使用している言語とフレームワーク、興味のあるツールについて詳しくお聞かせください。より良い回答を得ることができます。