OWASP secureCodeBox 镜像文档

什么是 OWASP secureCodeBox?

OWASP secureCodeBox 是一个自动化且可扩展的开源解决方案，可用于通过简单轻量级的界面集成各种安全漏洞扫描器。secureCodeBox 的使命是支持 DevSecOps 团队轻松在不同场景中自动化安全漏洞测试。

通过 secureCodeBox，我们提供了一个用于持续扫描应用程序的工具链，可在开发过程早期发现简单的安全问题，从而释放渗透测试人员的资源，使其能够专注于主要安全问题。

secureCodeBox 项目运行在 Kubernetes 上。安装需要 Helm（Kubernetes 的包管理器）。也可以基于 Docker 基础设施启动不同的集成安全漏洞扫描器。

Kubernetes 上 secureCodeBox 的快速入门

您可以在我们的文档网站上找到帮助您入门的资源，包括如何安装 secureCodeBox 项目以及帮助您运行首次扫描的指南。

支持的标签

• latest（代表最新的稳定版本构建）
• 标记版本，例如 3.0.0、2.9.0、2.8.0、2.7.0

如何使用此镜像

此 scanner 镜像旨在与相应的 parser 镜像结合使用，以将扫描器 findings 解析为通用的 secureCodeBox 结果。有关更多信息，请查看项目页面或[文档页面][[***]]。

bash
# 拉取镜像
docker pull securecodebox/scanner-zap-advanced

# 运行扫描示例
docker run --rm -v $(pwd):/output securecodebox/scanner-zap-advanced -t [***] -o /output -r HTML

什么是 ZAP?

⚠️ 弃用通知 zap-advanced 和 zap ScanType 已被弃用，取而代之的是 zap-automation-framework，它包含了先前 ScanType 的所有功能。建议尽快过渡到 "zap-automation-framework"。zap-advanced 和 zap ScanType 将在即将发布的 v5 版本中移除。有关迁移到 "zap-automation-framework" 的指南，请参阅 迁移到 zap-automation framework。

Zed *** Proxy (ZAP) 是世界上最受欢迎的免费安全工具之一，由数百名国际志愿者积极维护。它可以帮助您在开发和测试应用程序时自动发现 Web 应用程序中的安全漏洞。对于有经验的渗透测试人员来说，它也是一个用于手动安全测试的绝佳工具。

要了解有关 ZAP 扫描器本身的更多信息，请访问 [***]

扫描器配置

以下是 zap-advanced-scan 脚本支持的参数。

命令行界面可用于轻松运行服务器扫描：-t [***]

bash
usage: zap-client [-h] -z ZAP_URL [-a API_KEY] [-c CONFIG_FOLDER] -t TARGET [-o OUTPUT_FOLDER] [-r XML,XML-plus,JSON,JSON-plus,HTML,HTML-plus,MD]

OWASP secureCodeBox ZAP Client  (可用于基于 YAML 配置文件自动化 ZAP 实例。)

可选参数:
  -h, --help            显示此帮助消息并退出
  -z ZAP_URL, --zap-url ZAP_URL
                        用于调用 ZAP API 的 ZAP API 网址。
  -a API_KEY, --api-key API_KEY
                        用于调用 ZAP API 的 ZAP API 密钥。
  -c CONFIG_FOLDER, --config-folder CONFIG_FOLDER
                        包含用于配置 ZAP 的其他 ZAP 配置 YAML 的本地文件夹路径。
  -t TARGET, --target TARGET
                        要使用 ZAP 扫描的目标。
  -o OUTPUT_FOLDER, --output-folder OUTPUT_FOLDER
                        用于存储输出文件（例如 ZAP 报告或日志文件）的本地文件夹路径。
  -r XML,XML-plus,JSON,JSON-plus,HTML,HTML-plus,MD, --report-type XML,XML-plus,JSON,JSON-plus,HTML,HTML-plus,MD
                        ZAP 报告类型。

Docker 部署方案示例

bash
# 基本扫描示例
docker run --rm -v $(pwd):/output securecodebox/scanner-zap-advanced -t [***] -o /output -r HTML

# 使用配置文件的高级扫描
docker run --rm -v $(pwd)/config:/config -v $(pwd)/output:/output securecodebox/scanner-zap-advanced -t [***] -c /config -o /output -r JSON

社区

欢迎您加入我们... 👋

• GitHub
• OWASP Slack（#project-securecodebox 频道）
• ***

secureCodeBox 是***的 OWASP 项目。

许可证

![License]([***]

与所有 Docker 镜像一样，这些镜像可能还包含其他可能受其他许可证约束的软件（例如基础发行版中的 Bash 等，以及包含的主要软件的任何直接或间接依赖项）。

对于任何预构建的镜像使用，镜像用户有责任确保对此镜像的任何使用都符合其中包含的所有软件的相关许可证。