Owasp Zapのアクティブスキャンがデータベースに悪影響を与える
公式のJenkinsプラグインを使用して、継続的インテグレーションチェーンにOWASP Zapセキュリティテストを統合したいと思います。
しかし、それはデータベースに有害なペイロードを注入するので、データベースが破損したくありません!そしてそれは巨大なデータベースです。 DBを破損せずに正しく実装する方法を知りたいと思っていました。
非実稼働環境(実稼働のレプリカ)に対してアクティブなスキャンを実行します。アクティブなスキャン中に非運用データベースを破壊した場合に、ライブデータベースの新しいコピーを簡単に復元するためのプロセス/スクリプトを用意します。
本番サイトでの不要なリスクを回避することをお勧めします。また、非本番環境に対する侵入テストをより積極的に行うことができます。
あなたのデータベースは「巨大」であると述べました。 way too largeが妥当な時間内に非本番環境に適切にコピーするには、非本番環境にコピーするときに本番データベースのサイズを小さくすることを検討することができます。これには、本番以外のテストの目的には必要のない、過剰な数のレコードがあるテーブルのトリミングが含まれる場合があります。
ライブデータベースに対してテストを実行してはならず、分離されたテスト環境を使用する必要があります
本番アプリケーションのレプリカであるアプリケーションの非本番環境を常に維持します。アプリケーションの安全なバックアップを常に維持し、必要に応じて非運用環境でアプリケーションを再構築します。すべてのセキュリティテストとパッチは、この非本番環境で最初に完了する必要があります。また、成功/失敗した後でのみ、本番環境に実装する必要があります。