Quiero integrar las pruebas de seguridad de OWASP Zap en mi cadena de integración continua utilizando el complemento oficial de Jenkins.
Sin embargo, ya que inyecta cargas útiles en la base de datos, ¡no quiero que la base de datos se corrompa! Y es una base de datos enorme. Me preguntaba cómo implementarlo correctamente sin dañar la base de datos.
Ejecute las exploraciones activas en un entorno que no sea de producción (réplica de producción). Tenga un proceso / secuencia de comandos para restaurar fácilmente una copia nueva de la base de datos en vivo si rompe su base de datos no productiva durante el escaneo activo.
Es una buena práctica evitar riesgos innecesarios en el sitio de producción. Además, puede ser mucho más agresivo con sus pruebas de penetración en un entorno que no sea de producción.
Usted mencionó que su base de datos es "enorme". Si es demasiado grande para copiar de manera factible a la no producción en un período de tiempo razonable, puede considerar reducir el tamaño de la base de datos de producción cuando la copie en su entorno de no producción. Esto podría incluir recortar las tablas que tienen un número excesivo de registros que no se requieren para propósitos de prueba que no sean de producción.
No debe ejecutar ninguna prueba en una base de datos activa. Debe utilizar un entorno de prueba segregado
Mantenga siempre un entorno de no producción de su aplicación, que es una réplica de su aplicación de producción. Mantenga siempre una copia de seguridad segura de su aplicación para reconstruir la aplicación en la no producción si es necesario. Todas las pruebas de seguridad y amp; los parches deben completarse primero en este entorno de no producción y amp; solo después de su éxito / fracaso se deben implementar en el entorno de producción.
Lea otras preguntas en las etiquetas penetration-test owasp zap jenkins