https://romanoroth.com/de/tags/penetration-testing/Recent content in Penetration Testing on Romano RothHugo -- gohugo.iodeRomano RothWed, 19 Apr 2023 00:00:00 +0000https://romanoroth.com/de/blogs/github-devsecops-dast/Wed, 19 Apr 2023 00:00:00 +0000https://romanoroth.com/de/blogs/github-devsecops-dast/<p>Nach sieben Sessions statischer Analyse — SCA, License Compliance, SAST, Container Scanning, Secret Detection — wechseln Patrick Steger und ich auf die dynamische Seite der Pipeline. In Teil 8 ergänzen wir Dynamic Application Security Testing in unserer GitHub-Actions-Pipeline. DAST startet die Anwendung und greift sie dann an. GitHub liefert das nicht out of the box, also bauen wir eine Community-Action auf Basis von OWASP ZAP ein — und sind ehrlich, wo dieser Ansatz für Enterprise-Use an Grenzen stösst.</p>https://romanoroth.com/de/blogs/gitlab-devsecops-dast/Wed, 05 Oct 2022 00:00:00 +0000https://romanoroth.com/de/blogs/gitlab-devsecops-dast/<p>Alles, was wir bisher in der GitLab DevSecOps Pipeline gemacht haben, war statisch — Analyse von Source Code, Dependencies, Containern und Konfiguration. In Teil 8 überschreiten Patrick Steger und ich die Linie zu Continuous Delivery und ergänzen Dynamic Application Security Testing. DAST heisst: Wir deployen die Anwendung, starten sie und greifen sie von aussen mit einem automatisierten Penetration-Testing-Tool an. GitLab liefert das Feature out of the box mit OWASP ZAP.</p>