繁体   English   中英

如何将 OWASP ZAP 集成到 GCP Cloud Build CI/CD

[英]How to integrate OWASP ZAP into GCP Cloud Build CI/CD

我正在尝试在我的 Cloud Build 管道中运行 OWASP ZAP baseline SCAN。 https://www.zaproxy.org/docs/docker/baseline-scan/#usage我在 Github、Azure 和其他网站中找到了有关如何执行此操作的教程,但在 Cloud Build 中什么也没有。 OWASP 安全测试有更好的选择吗?

这是我的 cloudRun.yaml 文件中的内容:

steps:
- name: 'gcr.io/cloud-builders/docker'
  id: 'ZAP Proxy vulnerability scan'
  entrypoint: '/bin/sh'
  args: ['scripts/ZAP_OWASP_Run.sh','${PROJECT_ID}']

这就是我在 ZAP_OWASP_Run.sh 中的内容:

docker run -v $(pwd):/zap/wrk/:rw --user root -t owasp/zap2docker-stable zap-baseline.py -t https://myWebsite.com -T 5

我必须添加 --user root 因为我收到有关权限被拒绝的错误。

这是一种工作但是当我试图添加一个配置文件以忽略某些警告时它再次崩溃。 我不得不把它拼凑在一起,我开始认为我正在以完全错误的方式解决这个问题,所以我来这里问。

编辑 1:当我在没有 --user root 的情况下运行 docker 命令时,出现以下错误:

2023-01-23 23:22:34,992 Unable to copy yaml file to /zap/wrk/zap.yaml [Errno 13] Permission denied: '/zap/wrk/zap.yaml'

当我尝试传入配置文件时:

docker run -v $(pwd):/zap/wrk/:rw --user root -t owasp/zap2docker-stable zap-baseline.py -t https://radformation.com -T 5 -c zapAlerts.config

我收到以下错误:

2023-01-24 00:19:09,957 Failed to load config file /zap/wrk/zapAlerts.config not enough values to unpack (expected 3, got 1)

编辑 2:我通过首先在本地生成配置文件并对其进行编辑来使其工作,我最初尝试从在线源复制它。

我的主要问题是,我这样做是否正确? 感觉很hacky。 有没有更好的方法来确保我的网站在 GCP 中符合 OWASP 标准?

Docker 烫发可以彻底痛。 看起来 ZAP 无法更新映射到/zap/wrk/的目录 - 这会给您带来很多问题。 尝试运行docker run -v $(pwd):/zap/wrk/:rw -t owasp/zap2docker-stable touch /zap/wrk/test.txt - 如果失败那么它绝对是一个“本地”烫发问题 - 一旦你让这个简单的案例工作然后 ZAP 应该运行良好。

Failed to load config file /zap/wrk/zapAlerts.config not enough values to unpack (expected 3, got 1)错误消息表示文件格式错误。 你是如何创建它的?

仅供参考,我们有一个诊断 Docker 问题页面: https://www.zaproxy.org/docs/docker/diagnosing-problems/

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM