Task 4 TBO

[avangie]

Zadanie 3.

Zaktualizowano obrazy bazowe Dockerfile z wycofanego openjdk na eclipse-temurin, aby naprawić błąd "image not found".
Konfiguracja security scanu:

name: Security Scan

on:
  push:
    branches: [ "main" ]
  pull_request:
    branches: [ "main" ]

jobs:
  security-tests:
    runs-on: ubuntu-latest

    steps:
      - name: Check out code
        uses: actions/checkout@v2

      - name: Build Docker image
        run: |
          docker build -t myapp:latest .
      - name: Run Trivy scan
        uses: aquasecurity/trivy-action@0.29.0
        with:
          image-ref: 'myapp:latest'
          vuln-type: 'os,library'
          format: 'table'

      - name: Install Semgrep
        run: |
          sudo pip install semgrep --ignore-installed rich
      - name: Run Semgrep SAST
        run: |
          semgrep --config p/security-audit --error --json .

Link do wykonanego security scanu: https://github.com/avangie/tbo-task4/actions/runs/20224926014/job/58054117416#logs

Zadanie 4.

Przeprowadzono skanowanie dynamiczne przy użyciu ZAP. Wykryło ono podatności, których nie znalazły poprzednie narzędzia, np.: brak nagłówków bezpieczeństwa HTTP, brak tokenów chroniących przed atakami CSRF w formularzach, ujawnianie ID sesji w adresach URL.

Wyniki się różnią, bo każde z narzędzi koncentruje się na innym obszarze: Semgrep i Trivy analizują odpowiednio składnię kodu źródłowego oraz wersje bibliotek, a ZAP bada zachowanie uruchomionej aplikacji. Testy statyczne nie wykryły zgłoszonych problemów, bo braki wynikają z konfiguracji serwera, a nie z błędów w samym kodzie. Dopiero analiza ZAP pozwoliła na zidentyfikowanie tych luk, bo wchodzi w interakcję z działającym serwisem i sprawdza odpowiedzi HTTP i zachowanie formularzy - nawet przy poprawnym kodzie i zaktualizowanych zależnościach, aplikacja może być podatna na ataki z powodu niewłaściwej konfiguracji środowiska.