OWASP ZAP
Automatisation ZAP
Proxy open source, exploration, scan passif/actif et automatisation contrôlée des tests web.
Automation Framework
ZAP peut exécuter un plan YAML reproductible : contexte, spider, scan passif, scan actif et rapport.
env:
contexts:
- name: lab
urls:
- https://lab.example
includePaths:
- https://lab.example/.*
jobs:
- type: spider
parameters:
context: lab
maxDuration: 5
- type: passiveScan-wait
- type: report
parameters:
template: traditional-html
reportDir: /zap/wrk
reportFile: zap-report.html
Baseline Docker
docker run --rm -v "$PWD":/zap/wrk/:rw ghcr.io/zaproxy/zaproxy:stable zap-baseline.py -t https://lab.example -r baseline.html
Le baseline est principalement passif. Utilise des fichiers de règles pour accepter temporairement certaines alertes avec justification.
CI/CD
- exécuter sur préproduction ;
- protéger les secrets ;
- définir un seuil de blocage raisonnable ;
- conserver le rapport ;
- suivre les alertes dans le temps ;
- ne pas transformer un faux positif en exception permanente sans revue.