주:

• 이 사용지침서에서는 Oracle Cloud에 액세스해야 합니다. 무료 계정에 등록하려면 Oracle Cloud Infrastructure Free Tier 시작하기를 참조하십시오.
• Oracle Cloud Infrastructure 인증서, 테넌시 및 구획에 대한 예제 값을 사용합니다. 실습을 마치면 이러한 값을 자신의 클라우드 환경과 관련된 값으로 대체합니다.

Zed Attack Proxy와 Oracle Cloud Infrastructure DevOps 빌드 파이프라인 통합

소개

Oracle Cloud Infrastructure(OCI) DevOps 서비스는 개발자가 소프트웨어 개발 수명 주기를 단순화하고 자동화할 수 있는 완전한 CI/CD(지속적 통합/지속적 제공) 플랫폼입니다. OCI DevOps 서비스를 사용하면 개발자와 운영자가 공동으로 소프트웨어를 개발, 구축, 테스트 및 배포할 수 있습니다. DevSecOps는 소프트웨어 개발 및 배포의 자동화 프로세스에 보안 테스트가 추가되는 관행입니다.

ZAP(Zed Attack Proxy)는 이전 명칭이 Open Web Application Security Project Zed Attack Proxy (OWASP ZAP)인 오픈 소스 웹 애플리케이션 보안 스캐너입니다. 개발자와 보안 전문가가 웹 애플리케이션의 취약점을 감지하고 찾을 수 있도록 지원합니다. ZAP는 취약성 검사 중 발견된 취약성 및 경고에 대해 알려주는 보고서를 제공합니다.

목표

• ZAP를 OCI DevOps 빌드 파이프라인과 통합합니다.

필요 조건

• 애플리케이션을 빌드하고 배치할 파이프라인을 생성 및 설정합니다. 자세한 내용은 Kubernetes에서 OCI DevOps CI/CD 파이프라인을 사용하여 애플리케이션 배포를 참조하세요.

작업 1: ZAP 스캔에 대한 빌드 단계 설정

1. zap_build_spec.yaml라는 ZAP 통합 단계에 대해 아래 구성을 사용하여 빌드 사양 파일을 생성합니다. 빌드 사양 명령의 application-URL를 배치된 애플리케이션 URL로 바꿉니다. 또한 빌드 매개변수를 사용하여 더 동적으로 만들 수도 있습니다. 빌드 사양 파일을 저장소에 업로드합니다.

   version: 0.1
   component: build
   timeoutInSeconds: 10000
   runAs: root
   shell: bash
   
   steps:
     - type: Command
       timeoutInSeconds: 1200
       name: "Zap Scan"
       command: |
         docker run -v /docker-vol/agent-dir/ext/${OCI_PRIMARY_SOURCE_NAME}:/zap/wrk/:rw --user root ghcr.io/zaproxy/zaproxy:stable zap-baseline.py -t <application-url> -g gen.conf -d -r report.xml
   
   outputArtifacts:
     - name: zap-report
       type: BINARY
       location: ${OCI_PRIMARY_SOURCE_DIR}/report.xml
   

2. ZAP 통합에 대한 빌드 단계를 추가합니다.

   1. 빌드 파이프라인 아래의 단계 추가를 누르고 빌드 단계 관리를 선택합니다.

   2. Build Spec file path에 zap_build_spec.yaml을 입력합니다.

   3. 단계 이름을 입력하고 기본 코드 저장소를 추가합니다.

   4. Connection type을 OCI 코드 저장소로 선택하고 zap_build_spec.yaml가 있는 코드 저장소를 선택합니다.

      

3. 아티팩트 추가.

   1. 아티팩트 추가를 누릅니다.

   2. 유형을 일반 아티팩트로 지정합니다.

   3. ZAP 보고서가 저장될 아티팩트 레지스트리 저장소를 선택합니다.

   4. 저장소에서 아티팩트를 선택합니다.

   5. 추가를 누릅니다.

      

4. 이 단계에서는 ZAP 보고서를 아티팩트 레지스트리에 푸시합니다. 이전에 생성된 빌드 파이프라인에서 아티팩트 전달 유형의 다른 단계를 추가합니다.

   1. 아티팩트 선택을 누르고 생성된 아티팩트를 선택합니다.

   2. zap_build_spec.yaml 파일에서 이 아티팩트 이름을 언급했으므로 빌드 구성/결과 아티팩트 이름을 zap-report로 지정합니다.

   3. 추가를 누릅니다.

      

5. 빌드 파이프라인은 다음 이미지에 표시됩니다. 수동 실행 시작을 눌러 파이프라인을 실행합니다.

   

6. 파이프라인이 성공적으로 실행되면 아티팩트 레지스트리에서 ZAP 보고서를 다운로드할 수 있습니다.

   

다음 단계

생성된 ZAP 보고서는 ZAP 스캔 중 발견된 취약성 및 경고를 이해하는 데 도움이 됩니다. 이 빌드 사양 구성이 기준 요소 스캔을 수행하고 있습니다. ZAP - 전체 스캔을 수행할 수도 있습니다. 이 작업은 실제 '공격'을 수행하며 장기간 실행될 수 있습니다.

ZAP 스캔은 테스트 환경에서 먼저 수행할 수 있습니다. 테스트 환경에서 취약점을 찾을 수 없는 경우 애플리케이션을 운용 환경으로 롤아웃할 수 있습니다.

관련 링크

• OCI DevOps 서비스

• OCI DevOps 서비스 설명서

• 아티팩트 레지스트리 개요

• ZAP Docker 설명서

확인

• 작가: Nikhil Khandelwal(엔터프라이즈 클라우드 아키텍트)

추가 학습 자원

docs.oracle.com/learn에서 다른 실습을 살펴보거나 Oracle Learning YouTube 채널에서 더 많은 무료 학습 콘텐츠에 액세스하십시오. 또한 education.oracle.com/learning-explorer를 방문하여 Oracle Learning Explorer가 되십시오.

제품 설명서는 Oracle Help Center를 참조하십시오.

---

제목 및 저작권 정보

Integrate Zed Attack Proxy with Oracle Cloud Infrastructure DevOps Build Pipeline

F89773-01

November 2023

Copyright © 2023, Oracle and/or its affiliates.