En esta entrada vamos a configurar OWASP ZAP en nuestro Pipeline Jenkins. En esta ocasión no vamos a hacer una instalación de OWASP ZAP, vamos a ejecutarlo en un contenedor Docker en el mismo host que Jenkins y sumarlo el “Stage” a nuestro Pipeline.

Para comenzar, en el host que contiene Jenkins, vamos a correr el Docker de OWASP ZAP.

Shell
 
docker run –detach –name zap -u zap -v “/opt/dast/reports”:/zap/reports/:rw \
Como ven el tag -v apunta a una carpeta nuestro SO, para poder depositar los reportes que generemos.

Vamos a hacer una llamada directa al Docker con el comando zap-cli. Elegí el quick-scan y agregamos un tag de Medium. La finalidad es que no me reporte los Low.

Shell
 
 
 

Vamos a crear un Stage en nuestro código Groovy de Jenkins. Agregue un Try & Catch. Me interesa, por los falsos positivos, que el Pipeline continue aun si tenemos vulenrabilidades Medium o High.

A continuación creamos el reporte. En este caso, para su posterior publicación, la salida es html pero podríamos jugar con otros formatos para alimentar otro sistema. Por ejemplo JSON para utilizar ArcherySec o DefectDojo y poder gestionar la vulnerabilidad hallada.

Groovy
stage(‘DAST’) {
 

¡Vamos a correr ese Pipeline! A ver que nos entrega.

Pipeline OWASP ZAP

Como habíamos configurado el Pipeline continuo aun habiendo encontrado una vulnerabilidad Medium.

Ahora podemos revisar el reporte.

Muchas cosas para configurar y seguir jugando. Espero que les sea de utilidad.

fuente:https://blog.santiagoagustinfernandez.com/analisis-dast-en-nuestro-pipeline-con-owasp-zap/

¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)

compartir en ....
Avatar

Acerca de Brian Alexander Diaz

Brian Alexander Diaz Investigador en temas de seguridad y Devops Mi nombre es Brian Alexander Diaz. El objetivo de este blog es promover la cultura y mentalidad en seguridad por todo el Internet y que la gente aprenda a facilitar su vida y crear  sistemas mas seguros .

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *