OWASP ZAP

GitHub DevSecOps Teil 8: Dynamic Application Security Testing (DAST)

19. April 2023·5 min

DevSecOps GitHub CI/CD DevOps DAST Dynamic Application Security Testing Penetration Testing OWASP ZAP GitHub Actions

Nach sieben Sessions statischer Analyse — SCA, License Compliance, SAST, Container Scanning, Secret Detection — wechseln Patrick Steger und ich auf die dynamische Seite der Pipeline. In Teil 8 ergänzen wir Dynamic Application Security Testing in unserer GitHub-Actions-Pipeline. DAST startet die Anwendung und greift sie dann an. GitHub liefert das nicht out of the box, also bauen wir eine Community-Action auf Basis von OWASP ZAP ein — und sind ehrlich, wo dieser Ansatz für Enterprise-Use an Grenzen stösst.

GitLab DevSecOps Teil 8: Dynamic Application Security Testing (DAST)

5. Oktober 2022·5 min

DevSecOps GitLab CI/CD DevOps DAST Dynamic Application Security Testing Penetration Testing OWASP ZAP Shift Left

Alles, was wir bisher in der GitLab DevSecOps Pipeline gemacht haben, war statisch — Analyse von Source Code, Dependencies, Containern und Konfiguration. In Teil 8 überschreiten Patrick Steger und ich die Linie zu Continuous Delivery und ergänzen Dynamic Application Security Testing. DAST heisst: Wir deployen die Anwendung, starten sie und greifen sie von aussen mit einem automatisierten Penetration-Testing-Tool an. GitLab liefert das Feature out of the box mit OWASP ZAP.

↑