在 Jenkins CICD 管道中集成 ArcherySec + OWASP ZAP

最新推荐文章于 2023-10-12 14:01:46 发布
最新推荐文章于 2023-10-12 14:01:46 发布
阅读量731 收藏
点赞数
分类专栏: 笔记 文章标签: jenkins devops
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_45131349/article/details/126035274
版权
本文介绍了如何在Jenkins持续集成/持续部署管道中整合ArcherySec和OWASP ZAP进行安全扫描。首先,你需要通过pip安装archerysec-cli。接着,确保你的环境中已经安装了Docker,并拉取archerysec/owasp-zap镜像。在执行扫描时,可能会遇到权限问题导致无法生成XML报告,解决方法是创建一个Dockerfile,将默认启动用户改为root,然后重新构建镜像。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在 Jenkins CI/CD 管道中集成 ArcherySec + OWASP ZAP

参考:https://blog.archerysec.com/integrate-archerysec-owasp-zap-in-jenkins-cicd-pipeline/

具体操作参考上述链接,需要准备下jenkins工作环境

1、安装archerysec-cli

pip install archerysec-cli --force

2、安装docker环境,同时下载archerysec/owasp-zap镜像,每次构建会使用该镜像启动一个容器进行zap扫描。

构建可能会遇到FileNotFoundError: [Errno 2] No such file or directory: '/tmp/archerysec-scans-report/archerysec-owasp-zap-base-line-report.xml’错误;原因是下载的镜像启动默认是zap用户,生成的挂载目录默认是root权限的,所以没权限操作不能生成xml报告。可以写一个Dockerfile,改变默认启动用户为root重新build一下镜像,就能解决问题。

###cat Dockerfile
FROM archerysec/owasp-zap:latest
USER root
###

docker build -t archerysec/owasp-zap:latest .
jenkins集成OWASP ZAP,解决插件使用问题,无法保存配置问题。
01-26
jenkins集成OWASP ZAP,解决插件使用问题,无法保存配置问题。把zap.jar复制到jenkins插件zap文件夹下web-inf的lib中,覆盖原有zap.jar.
zapper:在 Jenkins 中运行 OWASP ZAP 进行自动化安全评估
06-07
Zapper 是一个 Jenkins 持续集成系统插件,可帮助您将 OWASP ZAP 作为自动安全评估制度的一部分运行。 当给出 ZAP 安装路径时,该插件可以使用预安装的 ZAP 版本。 或者,它可以自动下载并构建供您的安全测试使用的 ZAP 版本。
jenkins ci/cd_DevSecOps:使用JenkinsOWASP ZAP进行CI / CD Web应用程序测试。
weixin_26746861的博客
07-17 1579
jenkins ci/cdIn a development environment, developers work on building applications using a native code language and share it on GitHub for other developers in a team to review, strengthen, and expand...
jenkins集成OWSAP ZAP插件方法
01-26
jenkins集成安全漏洞扫描工具OWSAP ZAP
python venv jenkins_如何使用python将ZAP集成jenkins
weixin_39540934的博客
12-08 237
其实我不知道python。为了将zapjenkins集成起来,我搜索了很多东西。但是我找不到任何有用的东西。这是link我找到了如何使用python将ZAP集成jenkins?我按照步骤..但执行python脚本。Traceback (most recent call last):File "zap-python-script.py", line 15, in zap.urlopen(targ...
深入理解CICD在JavaScript中的测试应用
在CI/CD管道中,功能测试常常是自动化测试的一部分,使用Selenium或Cypress等工具来实现。 2. **性能测试**:性能测试检查软件的响应速度、稳定性、可靠性和资源消耗情况。在CI/CD流程中,性能测试可以自动执行,...
Android持续集成与持续部署(CiCd)技术探究
资源摘要信息: "Android CiCd" 知识点一:Android持续集成和持续部署(CiCd)概念 Android CiCd是Android应用开发过程中自动化测试和部署的...这些过程可以通过集成特定的CiCd插件或服务来完成,如Snyk、OWASP ZAP等。
CICD实践练习:掌握DevOps中的Java自动化流程
标题“devops-ci-cd-exercise:CICD中的练习”和描述“devops-ci-cd-exercise:CICD中的练习”都暗示了本文件内容是关于持续集成与持续部署(CICD)实践操作的一个练习。这个练习与Java编程语言有关,这可以从文件的...
持续集成_持续部署:软件工程自动化流程提升效率的实践
[持续集成_持续部署:软件工程自动化流程提升效率的实践](https://cdn2.hubspot.net/hubfs/3937956/Mabl%20November2017/Images/mabl_infographic_CICD_testing_72ppi_jpg-3-1080x542.jpg) 参考资源链接:[长安大学...
【持续集成_持续部署(CI_CD)进阶指南】:自动化流程优化
随着软件开发的不断演进,持续集成与持续部署(CI/CD)已成为行业中的关键实践。本文首先概述了CI/CD的概念及其在敏捷开发中的重要性。接着,深入探讨了流水线设计的原则与实践,包括流程设计、自动化提升以及工具的...
zap_jenkins
03-18
zap_jenkins
Jenkins集成Java 静态代码分析工具调研和引入
11-27
Java 静态代码分析工具调研和引入,包括maven与findbugs、checkstyle、pmd。gradle与findbugs、checkstyle、pmd,lint。
jenkins中添加sonnarqube与OWASP Dependency-Check
著名艺术家
09-20 1751
jenkins sonarqube代码检查 owasp dependency-check 漏洞扫描
黑客工具之OWASP-ZAP
victorwjw的博客
06-14 1262
一个不错的工具 OWASP-ZAP
jenkin、SVN、archery集成openLDAP
weixin_30794851的博客
11-23 221
jenkins: 1、下载、安装插件 LDAP 、Matrix Authorization Strategy 2、 系统管理 —> 全局安全配置 点击 启用安全,并且选择 LDAP 认证,这里有一点需要强调一下,一定要记得开启匿名用户的 admin 权限,不然 ldap 配置错误保存以后就无法登录到 jenkins 了哦,配置完成后点击保存 (权限设置错误请修改修改 /var/li...
【2023.06.01】docker初见(一)
KLeinLAN的博客
06-01 155
毕设完成初稿的空闲期,学一点技术和理论知识吧~今天来看一看docker,之前一直出现在github里的readme中,却一直未认真学习过。
史上最全 Jenkins Pipeline流水线详解
最新发布
测试萌萌
10-12 2040
jenkins 有 2 种流水线分为声明式流水线与脚本化流水线,脚本化流水线是 jenkins 旧版本使用的流水线脚本,新版本 Jenkins 推荐使用声明式流水线。文档只介绍声明流水线。
Jenkins Pipeline集成Sonar进行代码质量检测
chihujiang3132的博客
03-07 1924
Jenkins Pipeline集成Sonar进行代码质量检测 简介 jenkins pipeline Jenkins Pipeline (或简称为 "Pipeline" )是一套jenkins插件,将持续交付的实现和实施集成Jenkins 中。 Jenkins Pipeline 表达了...
扫描docker安装的工具_DevSecOps的实现与相关开源工具
weixin_39971132的博客
12-19 384
DevSecOps的实现与相关开源工具DevSecOps是一种以自动化方式在DevOps流程中集成安全工具的方法。DevSecOps不仅仅是引入新的安全工具,还包括关于使用这些工具的必要知识。这需要对DevOps文化改进,需要对员工进行培训,并要求他们提高自己的技能。这使得他们能够更有效地协作,从而创造出一种“安全文化”。这种多文化、多学科的自动化安全环境使每个人都关注安全,而不仅仅是单个团队,这...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值