附註：

• 此教學課程需要存取 Oracle Cloud。若要註冊免費帳戶，請參閱開始使用 Oracle Cloud Infrastructure Free Tier 。
• 它使用 Oracle Cloud Infrastructure 憑證、租用戶及區間的範例值。完成實驗室時，請以雲端環境特有的值取代這些值。

將 Zed Attack Proxy 與 Oracle Cloud Infrastructure DevOps 建構管道整合

簡介

Oracle Cloud Infrastructure (OCI) DevOps 服務是一個完整的持續整合 / 持續交付 (CI/CD) 平台，可讓開發人員簡化並自動化其軟體開發生命週期。OCI DevOps 服務可讓開發人員和操作員協同開發、建置、測試及部署軟體。DevSecOps 是在軟體開發與部署的自動化流程中新增安全測試的實務。

Zed Attack Proxy (ZAP) (先前稱為 Open Web Application Security Project Zed Attack Proxy (OWASP ZAP) ) 是開放原始碼的 Web 應用程式安全性掃描器。它可協助開發人員和安全專業人員偵測及尋找 Web 應用程式中的漏洞。ZAP 將提供有關漏洞掃描期間發現之漏洞和警告的報告。

目標

• 將 ZAP 與 OCI DevOps 組建管線整合。

必要條件

• 建立並設定管線以建置及部署應用程式。如需詳細資訊，請參閱在 Kubernetes 上使用 OCI DevOps CI/CD 管線部署您的應用程式。

作業 1：設定 ZAP 掃描的組建階段

1. 使用下方的 ZAP 整合階段組態建立建置規格檔案，名稱為 zap_build_spec.yaml。將組建規格命令中的 application-url 取代為部署的應用程式 URL。您也可以使用「建置參數」讓它更具動態性。將組建規格檔案上傳至儲存區域。

   version: 0.1
   component: build
   timeoutInSeconds: 10000
   runAs: root
   shell: bash
   
   steps:
     - type: Command
       timeoutInSeconds: 1200
       name: "Zap Scan"
       command: |
         docker run -v /docker-vol/agent-dir/ext/${OCI_PRIMARY_SOURCE_NAME}:/zap/wrk/:rw --user root ghcr.io/zaproxy/zaproxy:stable zap-baseline.py -t <application-url> -g gen.conf -d -r report.xml
   
   outputArtifacts:
     - name: zap-report
       type: BINARY
       location: ${OCI_PRIMARY_SOURCE_DIR}/report.xml
   

2. 為 ZAP 整合新增建置階段。

   1. 按一下組建管線底下的新增階段，然後選擇管理組建階段。

   2. 在建立規格檔案路徑中輸入 zap_build_spec.yaml。

   3. 輸入階段名稱並新增主要程式碼儲存區域。

   4. 選取連線類型作為 OCI 程式碼儲存區域，然後選取 zap_build_spec.yaml 所在的程式碼儲存區域。

      

3. 新增使用者自建物件。

   1. 按一下新增物件。

   2. 將類型指定為一般使用者自建物件。

   3. 選取將儲存 ZAP 報表的使用者自建物件登錄儲存區域。

   4. 從儲存庫選取物件。

   5. 按一下新增。

      

4. 此階段會將 ZAP 報表推送至使用者自建物件登錄。在先前建立的組建管線中，新增另一個傳遞使用者自建物件類型的階段。

   1. 按一下選取使用者自建物件，然後選取建立的使用者自建物件。

   2. 請提供建立組態 / 結果使用者自建物件名稱作為 zap-report ，因為我們在 zap_build_spec.yaml 檔案中提到此使用者自建物件名稱。

   3. 按一下新增。

      

5. 組建管線會顯示在下列影像中。按一下開始手動執行以執行管線。

   

6. 管線順利執行之後，您可以從使用者自建物件登錄下載 ZAP 報表。

   

接下來的步驟

產生的 ZAP 報告將有助於瞭解 ZAP 掃描期間發現的漏洞和警告。此組建規格組態正在執行基準掃描。您也可以執行 ZAP - 完整掃描，這會執行實際的「攻擊」，並且可能會長時間執行。

可以先在測試環境執行 ZAP 掃描。如果在測試環境中找不到漏洞，可以將應用程式推出至 Production。

相關連結

• OCI DevOps 服務

• OCI DevOps 服務文件

• 物件登錄簡介

• ZAP Docker 指南

認可

• 作者：Nikhil Khandelwal (企業雲架構師)

其他學習資源

瀏覽 docs.oracle.com/learn 的其他實驗室，或前往 Oracle Learning YouTube 頻道存取更多免費學習內容。此外，請造訪 education.oracle.com/learning-explorer 以成為 Oracle Learning Explorer。

如需產品文件，請造訪 Oracle Help Center 。

---

標題與著作權資訊

Integrate Zed Attack Proxy with Oracle Cloud Infrastructure DevOps Build Pipeline

F89773-01

November 2023

Copyright © 2023, Oracle and/or its affiliates.