OWASP ZAPとGitHub Actionsで自動化する脆弱性診‪断‬

オープンソースの脆弱性診断ツール「OWASP ZAP」とCI/CDツール「GitHub Actions」を使用して脆弱性診断作業を自動化するためのノウハウを集めた書籍です。脆弱性診断の「内製化」を進めるきっかけになればと思います。

前半ではJavaで作られたサンプルアプリケーションに対して自動診断を実施する方法を説明しています。前半では最低限の設定で自動診断を実施し、後半ではその設定では診断できないログイン後の画面を診断する方法を解説しています。


【目次】

第1章 Quick Start

第2章 GitHub Actionsのワークフロー

第3章 デフォルト設定による自動診断の問題点

第4章 ちょっと複雑な診断対象アプリのセットアップ

第5章 ワークフローを新規追加

第6章 OWASP ZAPのログイン設定

第7章 GitHub Actionsにコンテキストを登録

第8章 ワークフロー修正

付録A Java 11 (JDK)のインストール

付録B OWASP ZAPのセットアップ