このラボでは、動的アプリケーションセキュリティテスト (DAST) の概念を紹介し、潜在的なセキュリティの脆弱性を特定するために Web アプリケーションを自動的にテストします。DAST は ブラックボックス の Web アプリケーションをテストする方法で、既知の攻撃に沿ってウェブアプリケーションインターフェイスをスキャンしてテストします。SAST とは異なり、DAST はソースコードをスキャンしません。DAST は時々 侵入テスト とも呼ばれます。
OWASP Zed攻撃プロキシというフリーでオープンソースのDASTツールを使い、それをリリースパイプラインに追加します。ペネトレーションテストは通常、手動で実行されるか、セキュリティチームとスケジュール設定されますが、最近では、セキュリティコーディングプラクティスを以前に導入し、変更が公開されるたびに自動的に実行すると、セキュリティコーディングプラクティスをさらに強化できます。セキュリティチームに引き渡す前に侵入テストの結果を修正すると、ターンアラウンドタイムが確実に短縮されます。
このラボを修了すると、次のことができるようになります。