ZAP Docker镜像 (bare image) 技术文档

1. 镜像概述和主要用途

1.1 镜像概述

ZAP (Zed *** Proxy) 是一款全球广泛使用的免费开源Web应用安全测试工具，由国际志愿者团队持续维护。本Docker镜像是ZAP的"bare image"版本，经过精简优化，在保留核心功能的前提下尽可能减小镜像体积，适合资源受限环境或对容器轻量化有要求的场景。

1.2 主要用途

• 自动检测Web应用在开发、测试阶段的安全漏洞（如SQL注入、XSS、CSRF等）
• 支持安全测试人员开展手动渗透测试
• 作为轻量级组件集成到CI/CD流程，实现自动化安全测试

2. 核心功能和特性

2.1 核心功能

• 自动化漏洞扫描：通过主动/被动扫描模式识别Web应用常见安全漏洞
• 手动渗透测试支持：提供拦截代理、漏洞验证工具等，辅助人工深度分析
• 可扩展架构：支持通过插件扩展功能（bare image默认仅包含核心插件）

2.2 关键特性

• 精简体积：bare image设计，去除非必要依赖，镜像体积最小化
• 持续更新：跟进最新安全漏洞检测规则，由志愿者团队定期维护
• 跨平台兼容：基于Docker容器化，可在Linux、Windows、macOS等支持Docker的环境中运行

3. 使用场景和适用范围

3.1 典型使用场景

• 开发阶段集成：嵌入CI/CD管道（如Jenkins、GitHub Actions），在代码提交或构建环节自动执行安全扫描
• 测试团队验证：测试人员快速启动容器，对Web应用进行安全合规性验证
• 手动渗透测试：安全专家通过命令行或远程界面，利用ZAP高级功能进行漏洞深度分析

3.2 适用范围

• 用户群体：开发工程师、测试工程师、安全渗透测试人员
• 环境要求：支持Docker的开发环境、测试服务器或CI/CD平台
• 应用场景：中小型Web应用安全测试、轻量级容器部署环境、资源受限的边缘计算场景

4. 使用方法和配置说明

4.1 基础使用（Docker Run）

4.1.1 执行基础扫描并生成报告

bash
docker run --rm -v $(pwd):/zap/wrk:rw -t owasp/zap2docker-bare zap-baseline.py -t [***] -r scan-report.html

• 参数说明：
  • --rm：容器退出后自动清理
  • -v $(pwd):/zap/wrk:rw：挂载当前目录到容器/zap/wrk目录，用于保存扫描报告
  • -t owasp/zap2docker-bare：指定使用ZAP bare image
  • zap-baseline.py：基础扫描脚本，覆盖OWASP Top 10等常见漏洞
  • -t [***]：指定目标Web应用URL
  • -r scan-report.html：生成HTML格式扫描报告（保存至挂载目录）

4.1.2 启动交互式终端（手动测试）

如需手动操作（如配置代理、验证漏洞），可启动交互式模式：

bash
docker run -it --rm -p 8080:8080 owasp/zap2docker-bare zap-x.sh

• 参数说明：
  • -it：启用交互式终端
  • -p 8080:8080：暴露ZAP默认代理端口，通过http://localhost:8080访问Web界面
  • zap-x.sh：启动ZAP并加载图形界面（需宿主机支持X11转发或通过VNC访问）

4.2 Docker Compose 配置示例

yaml
version: '3'
services:
  zap-scan:
    image: owasp/zap2docker-bare
    volumes:
      - ./zap-reports:/zap/wrk:rw  # 挂载报告目录
      - ./zap-config:/zap/.ZAP:rw   # 挂载配置目录（可选，用于保留自定义规则）
    command: zap-baseline.py -t [***]{APP_URL} -r report.html -P "Strict Policy"
    ports:
      - "8080:8080"  # 可选，如需访问Web界面

4.3 核心配置参数

ZAP支持通过命令行参数自定义扫描行为，常用参数如下（完整列表见***文档）：

4.4 数据持久化

为避免配置和扫描结果丢失，建议挂载以下目录：

• /zap/wrk：工作目录，用于存放报告、会话文件（必须挂载以保留扫描结果）
• /zap/.ZAP：配置目录，包含自定义规则、插件和用户设置（可选，需持久化配置时挂载）

示例（持久化配置与报告）：

bash
docker run --rm \
  -v $(pwd)/zap-config:/zap/.ZAP:rw \
  -v $(pwd)/reports:/zap/wrk:rw \
  owasp/zap2docker-bare \
  zap-baseline.py -t [***] -r report.html

4.5 CI/CD集成示例（GitLab CI）

yaml
stages:
  - security-scan

zap-scan:
  stage: security-scan
  image: owasp/zap2docker-bare
  script:
    - zap-baseline.py -t [***] -r zap-report.html -l 3
  artifacts:
    paths:
      - zap-report.html  # 保存报告为构建产物
  only:
    - main  # 仅在main分支触发

5. 参考链接

• ZAP网站：[]
• ZAP Docker镜像完整文档：[***]
• ZAP命令行参数说明：[***]