首页
/ 动态应用安全测试(DAST)运营商:创新的自动化网络安全工具

动态应用安全测试(DAST)运营商:创新的自动化网络安全工具

2024-05-31 00:52:47作者:郁楠烈Hubert

动态应用安全测试(DAST)是一种在应用程序运行状态下进行安全性测试的方法。而DAST Operator正是这一理念的杰出体现,它借助于OWASP ZAP这个强大的自动安全扫描器,为基于OpenAPI定义的Web应用程序和API提供自动化测试服务。

1、项目介绍

DAST Operator是一个Kubernetes控制器,通过自定义资源对象来部署OWASP ZAP代理,并执行外部URL或内部服务的安全扫描。此外,它还支持根据OpenAPI定义进行API安全性测试,并在部署Ingress前检查后端服务的安全状况。

2、项目技术分析

该项目采用了两个协调器(DAST协调器和服务协调器)以及一个验证型准入Webhook。其架构设计如图所示:

![DAST OPERATOR](docs/images/dast.png)

其中,DAST协调器负责整体的资源管理,服务协调器则专注于服务级别的安全管理。验证型Webhook确保只有经过安全扫描的服务才能成功部署Ingress。

3、项目及技术应用场景

  • 自动安全扫描:DAST Operator可以在新的Web应用程序或API上线前对其进行自动安全扫描。
  • 持续集成/持续交付(CI/CD):集成到你的CI/CD流程中,确保每次代码更改后的安全性。
  • 内部服务保护:通过对内部服务的持续监控,保护你的集群免受潜在威胁。
  • OpenAPI安全测试:如果您的应用基于OpenAPI,它可以帮你找到并修复潜在的安全问题。

4、项目特点

  • 支持OWASP ZAP自动化安全扫描
  • 基于OpenAPI的安全测试
  • 在Ingress部署前的后端服务扫描与结果阈值检查
  • 集成了验证型准入Webhook,增强安全性

未来计划包括改进Webhook功能,处理多端口、不同协议的服务,并引入HTTPS连接以及更深入的参数化安全负载测试。

安装与示例

要安装DAST Operator,你可以通过Helm或者手动构建和部署Docker镜像。详细的安装步骤以及部署OWASP ZAP实例、扫描外部URL、应用OpenAPI定义等操作的示例在项目文档中均有详细说明。

为了更好地利用DAST Operator,我们建议先部署cert-manager以管理TLS证书。

开始使用DAST Operator,为你的应用程序添加一层额外的安全保障,让安全性成为开发过程中的核心部分!

helm repo add banzaicloud https://kubernetes-charts.banzaicloud.com/
helm install dast-operator banzaicloud/dast-operator

或者,如果你想了解更多关于DAST Operator的信息,可以查看其GitHub仓库

登录后查看全文
热门项目推荐

热门内容推荐

最新内容推荐

项目优选

收起
docsdocs
OpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
144
1.93 K
kernelkernel
deepin linux kernel
C
22
6
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
192
274
openGauss-serveropenGauss-server
openGauss kernel ~ openGauss is an open source relational database management system
C++
145
189
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
930
553
nop-entropynop-entropy
Nop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台,包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分,采用java语言实现,可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用
Java
8
0
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
423
392
金融AI编程实战金融AI编程实战
为非计算机科班出身 (例如财经类高校金融学院) 同学量身定制,新手友好,让学生以亲身实践开源开发的方式,学会使用计算机自动化自己的科研/创新工作。案例以量化投资为主线,涉及 Bash、Python、SQL、BI、AI 等全技术栈,培养面向未来的数智化人才 (如数据工程师、数据分析师、数据科学家、数据决策者、量化投资人)。
Jupyter Notebook
75
66
CangjieCommunityCangjieCommunity
为仓颉编程语言开发者打造活跃、开放、高质量的社区环境
Markdown
1.11 K
0
openHiTLS-examplesopenHiTLS-examples
本仓将为广大高校开发者提供开源实践和创新开发平台,收集和展示openHiTLS示例代码及创新应用,欢迎大家投稿,让全世界看到您的精巧密码实现设计,也让更多人通过您的优秀成果,理解、喜爱上密码技术。
C
64
511