附註:
- 此教學課程需要存取 Oracle Cloud。若要註冊免費帳戶,請參閱開始使用 Oracle Cloud Infrastructure Free Tier 。
- 它使用 Oracle Cloud Infrastructure 憑證、租用戶及區間的範例值。完成實驗室時,請以雲端環境特有的值取代這些值。
將 Zed Attack Proxy 與 Oracle Cloud Infrastructure DevOps 建構管道整合
簡介
Oracle Cloud Infrastructure (OCI) DevOps 服務是一個完整的持續整合 / 持續交付 (CI/CD) 平台,可讓開發人員簡化並自動化其軟體開發生命週期。OCI DevOps 服務可讓開發人員和操作員協同開發、建置、測試及部署軟體。DevSecOps 是在軟體開發與部署的自動化流程中新增安全測試的實務。
Zed Attack Proxy (ZAP) (先前稱為 Open Web Application Security Project Zed Attack Proxy (OWASP ZAP) ) 是開放原始碼的 Web 應用程式安全性掃描器。它可協助開發人員和安全專業人員偵測及尋找 Web 應用程式中的漏洞。ZAP 將提供有關漏洞掃描期間發現之漏洞和警告的報告。
目標
- 將 ZAP 與 OCI DevOps 組建管線整合。
必要條件
- 建立並設定管線以建置及部署應用程式。如需詳細資訊,請參閱在 Kubernetes 上使用 OCI DevOps CI/CD 管線部署您的應用程式。
作業 1:設定 ZAP 掃描的組建階段
-
使用下方的 ZAP 整合階段組態建立建置規格檔案,名稱為
zap_build_spec.yaml
。將組建規格命令中的application-url
取代為部署的應用程式 URL。您也可以使用「建置參數」讓它更具動態性。將組建規格檔案上傳至儲存區域。version: 0.1 component: build timeoutInSeconds: 10000 runAs: root shell: bash steps: - type: Command timeoutInSeconds: 1200 name: "Zap Scan" command: | docker run -v /docker-vol/agent-dir/ext/${OCI_PRIMARY_SOURCE_NAME}:/zap/wrk/:rw --user root ghcr.io/zaproxy/zaproxy:stable zap-baseline.py -t <application-url> -g gen.conf -d -r report.xml outputArtifacts: - name: zap-report type: BINARY location: ${OCI_PRIMARY_SOURCE_DIR}/report.xml
-
為 ZAP 整合新增建置階段。
-
按一下組建管線底下的新增階段,然後選擇管理組建階段。
-
在建立規格檔案路徑中輸入
zap_build_spec.yaml
。 -
輸入階段名稱並新增主要程式碼儲存區域。
-
選取連線類型作為 OCI 程式碼儲存區域,然後選取
zap_build_spec.yaml
所在的程式碼儲存區域。
-
-
新增使用者自建物件。
-
按一下新增物件。
-
將類型指定為一般使用者自建物件。
-
選取將儲存 ZAP 報表的使用者自建物件登錄儲存區域。
-
從儲存庫選取物件。
-
按一下新增。
-
-
此階段會將 ZAP 報表推送至使用者自建物件登錄。在先前建立的組建管線中,新增另一個傳遞使用者自建物件類型的階段。
-
按一下選取使用者自建物件,然後選取建立的使用者自建物件。
-
請提供建立組態 / 結果使用者自建物件名稱作為 zap-report ,因為我們在
zap_build_spec.yaml
檔案中提到此使用者自建物件名稱。 -
按一下新增。
-
-
組建管線會顯示在下列影像中。按一下開始手動執行以執行管線。
-
管線順利執行之後,您可以從使用者自建物件登錄下載 ZAP 報表。
接下來的步驟
產生的 ZAP 報告將有助於瞭解 ZAP 掃描期間發現的漏洞和警告。此組建規格組態正在執行基準掃描。您也可以執行 ZAP - 完整掃描,這會執行實際的「攻擊」,並且可能會長時間執行。
可以先在測試環境執行 ZAP 掃描。如果在測試環境中找不到漏洞,可以將應用程式推出至 Production。
相關連結
認可
- 作者:Nikhil Khandelwal (企業雲架構師)
其他學習資源
瀏覽 docs.oracle.com/learn 的其他實驗室,或前往 Oracle Learning YouTube 頻道存取更多免費學習內容。此外,請造訪 education.oracle.com/learning-explorer 以成為 Oracle Learning Explorer。
如需產品文件,請造訪 Oracle Help Center 。
Integrate Zed Attack Proxy with Oracle Cloud Infrastructure DevOps Build Pipeline
F89773-01
November 2023
Copyright © 2023, Oracle and/or its affiliates.