CI security scan #48

igamiron · 2025-12-16T22:04:17Z

Dodano pipeline GitHub Actions: .github/workflows/security-scan.yml
Do repozytorium dołączono raport DAST z OWASP ZAP baseline: zap_report.html

Security scan (Github actions) : ostatni security run

Wyniki ZAP (DAST)

Medium: Absence of Anti-CSRF Tokens; Content Security Policy Header Not Set; Missing Anti-clickjacking Header; Session ID in URL Rewrite.
Low: Cookie without SameSite Attribute; Insufficient Site Isolation Against Spectre; Permissions Policy Header Not Set; X-Content-Type-Options Header Missing.
Informational: Information Disclosure – Suspicious Comments; Modern Web Application; Non-Storable Content; Session Management Response Identified; Storable and Cacheable Content.

Wnioski DAST vs SAST/SCA

ZAP	Semgrep/SAST	Trivy, SCA
wykryto głownie:	patrzy na:	skupia się na:
brak nagłówków bezpieczeństwa i tokenów CSRF	kod	podatnych zależnościach
przekazywanie ID w sesji URL	reguły wzorców	warstwie bazowej obrazu

widoczne dopiero w odpowiedziach HTTP i przepływie sesji	wynik konfiguracji serwera może nie być uchwycony	nie zajmuje się konfiguracją runtime HTTP, więc nie raportuje nagłówków ani sposobu zarządzania sesją

igamiron and others added 10 commits December 15, 2025 22:49

adding manual security scan trigger

a356592

update workflow security-scan

275d855

update workflow security-scan 2

98a1efe

Delete .github/workflows/scurity-scan.yml

07fe0ba

change deploy

ba769f1

Merge branch 'main' of https://github.com/igamiron/task4

9e42e73

Rozwiązanie konfliktu

c99d72b

Poprawa Dockerfile

307ec50

Poprawa security semgrep

f7d3fa8

raport ZAP i scan workflow

95c7ff5

Provide feedback