Jenkins で OWASP ZAP ジョブの作り方
はじめに
いささか遅すぎるようにも思うけれど、CIにOWASP ZAPを使用してWebセキュリティ対策を従前に行なえるようジョブの作成をしようと始めたところ思いの外ハマったので備忘も兼ねて投稿します。
jenkins
jenkins Dockerfile サンプル
ロケール、タイムゾーンを日本向けに変更しています。
FROM debian:stretch
ENV DEBIAN_FRONTEND noninteractive
RUN apt-get update && apt-get upgrade -y && apt-get install -y gnupg gnupg2 wget curl locales \
&& localedef -i ja_JP -c -f UTF-8 -A /usr/share/locale/locale.alias ja_JP.UTF-8
RUN rm /etc/localtime && sh -c 'echo Asia/Tokyo' > /etc/timezone && \
dpkg-reconfigure -f noninteractive tzdata
ENV LANG ja_JP.utf8
RUN wget -q -O - https://pkg.jenkins.io/debian/jenkins.io.key | apt-key add - && \
sh -c 'echo deb http://pkg.jenkins.io/debian-stable binary/ > /etc/apt/sources.list.d/jenkins.list'
RUN apt-get update && apt-get install -y openjdk-8-jdk git jenkins systemd
EXPOSE 8080
ENTRYPOINT service jenkins start && sleep 5 && \
tail -f /var/log/jenkins/jenkins.log
使用する jenkins plugin
- Official OWASP ZAP Jenkins Plugin
- HTML Publisher Plugin
- Custom Tools Plugin
以上のプラグインを追加してください。
ZAPジョブ作成
Custom Tool を追加する
「jenkinsの管理」ー「Global Tool Configuration」
注意: ラベルは入力するとエラーになってしまうので入力しない
新規ジョブ作成
新規ジョブ作成をクリック
アイテム名を入力&「フリースタイル・プロジェクトのビルド」を選択してOK
ビルド環境: Install custom tools
チェックを入れて、「Add tool」をクリック
Tool selection に設定したCustom Toolを選択する
ビルド手順の追加
Execute ZAP を選択
Override Host , Override Port を入力する(デフォルトはシステムの設定)
ZAP Home Directory に /tmp/ZAP
Session Management は Persist Session を選択、 Filename に "session"
Starting Point に検査対象のURLを入力
Finalize Run で Generate Reports を選択
Filename に JENKINS_ZAP_VULNERABILITY_REPORT_${BUILD_ID}.html
ビルド後の処理の追加
成果物を保存 と Publish HTML reports を追加
以上で保存して終了です
ジョブ実行
実行すると以下のようになるはずです。
あとは結果を見て必要な対策をしていくことになります。