Voglio integrare i test di sicurezza OWASP Zap nella mia catena di integrazione continua usando il plugin Jenkins ufficiale.
Tuttavia, poiché inietta i carichi utili dannosi nel database, non voglio che il database si corrompa! Ed è un enorme database. Mi stavo chiedendo come implementarlo correttamente senza danneggiare il DB.
Esegui le scansioni attive contro un ambiente non di produzione (replica della produzione). Avere un processo / script per ripristinare facilmente una nuova copia del database live se si interrompe il database non di produzione durante la scansione attiva.
È consigliabile evitare rischi non necessari sul sito di produzione. Inoltre, puoi essere molto più aggressivo con i tuoi test di penetrazione in un ambiente non di produzione.
Hai detto che il tuo database è "enorme". Se è troppo grande per copiare in modo fattibile in non-produzione in un ragionevole lasso di tempo, si può esaminare la riduzione della dimensione del database di produzione quando lo si copia nel proprio ambiente di non produzione. Ciò potrebbe includere il taglio delle tabelle che hanno un numero eccessivo di record che non sono richiesti per scopi di test non di produzione.
Non dovresti eseguire test su un database attivo, dovresti usare un ambiente di test segregato
Mantieni sempre un ambiente non di produzione della tua applicazione che è una replica della tua applicazione di produzione. Conserva sempre il backup sicuro dell'applicazione per ricostruire l'applicazione in caso di mancata produzione, se necessario. Tutti i test di sicurezza e amp; le patch dovrebbero essere completate per la prima volta in questo ambiente non di produzione & solo dopo il suo successo / fallimento dovrebbero essere implementati nell'ambiente di produzione.
Leggi altre domande sui tag jenkins penetration-test owasp zap