OWASP ZAPとGitHub Actionsで自動化する脆弱性診断

オープンソースの脆弱性診断ツール「OWASP ZAP」とCI/CDツール「GitHub Actions」を使用して脆弱性診断作業を自動化するためのノウハウを集めた書籍です。脆弱性診断の｢内製化｣を進めるきっかけになればと思います。前半ではJavaで作られたサンプルアプリケーションに対して自動診断を実施する方法を説明しています。前半では最低限の設定で自動診断を実施し、後半ではその設定では診断できないログイン後の画面を診断する方法を解説しています。【目次】第1章　Quick Start第2章　GitHub Actionsのワークフロー第3章　デフォルト設定による自動診断の問題点第4章　ちょっと複雑な診断対象アプリのセットアップ第5章　ワークフローを新規追加第6章　OWASP ZAPのログイン設定第7章　GitHub Actionsにコンテキストを登録第8章　ワークフロー修正付録A　Java 11 (JDK)のインストール付録B　OWASP ZAPのセットアップ