Laboratorium 4 #46
Open
Laboratorium 4 #46
Conversation
This file contains hidden or bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
1 participant
Add this suggestion to a batch that can be applied as a single commit.
This suggestion is invalid because no changes were made to the code.
Suggestions cannot be applied while the pull request is closed.
Suggestions cannot be applied while viewing a subset of changes.
Only one suggestion per line can be applied in a batch.
Add this suggestion to a batch that can be applied as a single commit.
Applying suggestions on deleted lines is not supported.
You must change the existing code in this line in order to create a valid suggestion.
Outdated suggestions cannot be applied.
This suggestion has been applied or marked resolved.
Suggestions cannot be applied from pending reviews.
Suggestions cannot be applied on multi-line comments.
Suggestions cannot be applied while the pull request is queued to merge.
Suggestion cannot be applied right now. Please check back later.
Zadanie 1
Wynik uruchomienia Trivy
Trivia zwraca listę podatności z poziomami ryzyka LOW, MEDIUM, HIGH, CRITICAL.
Zadanie 2
Wynik uruchomienia Semgrep
Przykładowa znaleziona podatność
Semgrep znalazł 47 podatności.
Zadanie 3
Przygotowany został proces CI w pliku security-scan.yml
Trivy znalazł 47 podatności w obrazie dockera i 72 w aplikacji.
Semgrep znalazł 0 podatności
Wykonany job znajduje się pod linkiem.
Zadanie 4
OWASP ZAP znalazł podatności 4 MEDIUM, 4 LOW, 4 INFORMATIONAL
Wnioski
Różnice w wykrywanych podatnościach wynikają z odmiennego sposobu działania narzędzi testów bezpieczeństwa. Trivy i Semgrep analizują aplikację w sposób statyczny, skupiają się na zależnościach i bibliotekach użytych w projekcie oraz identyfikują znane podatności CVE. OWASP ZAP przeprowadza analizę dynamiczną działającej aplikacji webowej, dzięki czemu wykrywa problemy ujawniające się dopiero w czasie działania systemu, takie jak brak nagłówków bezpieczeństwa, niewłaściwa obsługa sesji, brak ochrony przed CSRF czy nieprawidłowe ustawienia cookies. Podatności wykrywane przez ZAP nie są widoczne na poziomie kodu ani zależności, dlatego nie mogą zostać zidentyfikowane przez narzędzia analizy statycznej.