如何将 OWASP ZAP 集成到 GCP Cloud Build CI/CD

问题描述

我正在尝试在我的 Cloud Build 管道中运行 OWASP ZAP baseline SCAN。 https://www.zaproxy.org/docs/docker/baseline-scan/#usage我在 Github、Azure 和其他网站中找到了有关如何执行此操作的教程，但在 Cloud Build 中什么也没有。 OWASP 安全测试有更好的选择吗？

这是我的 cloudRun.yaml 文件中的内容：

steps:
- name: 'gcr.io/cloud-builders/docker'
  id: 'ZAP Proxy vulnerability scan'
  entrypoint: '/bin/sh'
  args: ['scripts/ZAP_OWASP_Run.sh','${PROJECT_ID}']

这就是我在 ZAP_OWASP_Run.sh 中的内容：

docker run -v $(pwd):/zap/wrk/:rw --user root -t owasp/zap2docker-stable zap-baseline.py -t https://myWebsite.com -T 5

我必须添加 --user root 因为我收到有关权限被拒绝的错误。

这是一种工作但是当我试图添加一个配置文件以忽略某些警告时它再次崩溃。 我不得不把它拼凑在一起，我开始认为我正在以完全错误的方式解决这个问题，所以我来这里问。

编辑 1：当我在没有 --user root 的情况下运行 docker 命令时，出现以下错误：

2023-01-23 23:22:34,992 Unable to copy yaml file to /zap/wrk/zap.yaml [Errno 13] Permission denied: '/zap/wrk/zap.yaml'

当我尝试传入配置文件时：

docker run -v $(pwd):/zap/wrk/:rw --user root -t owasp/zap2docker-stable zap-baseline.py -t https://radformation.com -T 5 -c zapAlerts.config

我收到以下错误：

2023-01-24 00:19:09,957 Failed to load config file /zap/wrk/zapAlerts.config not enough values to unpack (expected 3, got 1)

编辑 2：我通过首先在本地生成配置文件并对其进行编辑来使其工作，我最初尝试从在线源复制它。

我的主要问题是，我这样做是否正确？ 感觉很hacky。 有没有更好的方法来确保我的网站在 GCP 中符合 OWASP 标准？