PR

[xPriNz]

Security By Design - Zadanie 4

Zadanie 3: Przygotowanie procesu CI/CD z wykorzystaniem Trivy i Semgrep

Link do skanu:

https://github.com/xPriNz/task4/actions/runs/13041944081/job/36385526775

Zadanie 4: Uruchomienie aplikacji lokalnie + DAST z wykorzystaniem ZAP

Narzędzie ZAP wykryło podatności, których nie znalazły Trivy i Semgrep:

Brak atrybutu SameSite dla ciasteczek
Brak izolacji witryny przed atakiem Spectre
Brak nagłówka Permissions Policy
Brak nagłówka X-Content-Type-Options
Brak nagłówka Content Security Policy (CSP)
Brak nagłówka Anti-clickjacking
Identyfikator sesji (Session ID) w adresie URL

Główna różnica między tymi narzędziami wynika z ich metodologii:

Trivy i Semgrep to skanery typu SAST (Static Application Security Testing), które analizują kod źródłowy oraz zależności aplikacji.
Trivy wykrywa podatności w bibliotekach oraz środowisku uruchomieniowym, np. w kontenerach Dockera.
Semgrep identyfikuje potencjalnie niebezpieczne fragmenty kodu źródłowego.

ZAP to skaner DAST (Dynamic Application Security Testing), który testuje działającą aplikację, monitorując jej rzeczywiste zachowanie i analizując ruch HTTP. Dzięki temu wykrywa podatności związane z konfiguracją aplikacji, np. brak istotnych nagłówków bezpieczeństwa czy niewłaściwe zarządzanie sesją.