OWASP ZAP 2.6.0

2017年3月29日（水）の夜（日本時間）にOWASP ZAPの2.6.0がリリースされました。

ざっくりと見た限り、ツールの機能的には特別大きな更新はありませんが、Windows用のインストーラーがガラッと変わりました。

見た目だけの変更なら良いのですが、途中で、OWASP ZAPの使用方法に詳しくないと何を選択してよいかわからない場面があるので記事を起こしてみました。

Windowsインストーラーのダウンロード

次のサイトでWindows用インストーラをダウンロードします。

正常にダウンロードが完了したら、ダウンロードしたファイル（64bit版はZAP_2_6_0_windows.exe。32bit版であればZAP_2_6_0_windows-x32.exe）を実行します。

OWASP ZAPのライセンス契約については、バージョン2.5.0まではインストール後の初回起動時に、ライセンス契約を承認するかどうかを選択するダイアログが表示されていました。

2.6.0ではダイアログがWindowsインストーラーに組み込まれています。

前出の「セットアップ - OWASP Zed Attack Proxy 2.6.0」ダイアログで【次へ】ボタンをクリックすると、次のダイアログが表示されます。

「承認する」を選択して【次へ】ボタンをクリックしてください。

ここからしばらくはWindowsでおなじみのインストール風景が続きます。

次のダイアログが、本記事を書こうと思ったきっかけです。

チェックボックスがズラッと並んでる上に、まったく日本語に翻訳されていないので、威圧感がハンパないです。

ひとつひとつ説明していきます。

このチェックボックスにチェックを入れると、OWASP ZAPを起動するたびに、本体やアドオンが更新されているかどうかを公式リポジトリに問い合わせます。

本体の更新は、新機能の追加の他に、アプリの不具合や脆弱性の解消のために実施されることがあります。
そのため、このチェックボックスは必ずチェックしておきましょう。

なお、インストール時にチェックし忘れても大丈夫です。OWASP ZAP起動後でも本設定を変更することが可能です。

"Automatically download new ZAP releases"
- これにチェックを入れると、更新されたZAP本体のダウンロードが自動的に開始されます。

"Check for updates to the add-ons you have installed"
- 既にインストールされているアドオンの更新状況を公式リポジトリに問い合わせます。問い合わせて更新されているかどうかを表示するのみです。
"Automatically install updates to the add-ins you have installed"
- 更新が確認されたインストール済みのアドオンを自動的にインストールします。
"Auromatically install updates to the scanner rules you have installed"
- 更新が確認されたインストール済みのスキャナルールを自動的にインストールします。

"Report new release quality add-ons"
- 新しい「リリース版」のアドオンを報告します。自動的にインストールすることはありません。
"Report new beta quality add-ons"
- 新しい「ベータ版」のアドオンを報告します。自動的にインストールすることはありません。
"Report new alpha quality add-ons"
- 新しい「アルファ版」のアドオンを報告します。自動的にインストールすることはありません。