在 Jenkins CI/CD 管道中集成 ArcherySec + OWASP ZAP
参考:https://blog.archerysec.com/integrate-archerysec-owasp-zap-in-jenkins-cicd-pipeline/
具体操作参考上述链接,需要准备下jenkins工作环境
1、安装archerysec-cli
pip install archerysec-cli --force
2、安装docker环境,同时下载archerysec/owasp-zap镜像,每次构建会使用该镜像启动一个容器进行zap扫描。
构建可能会遇到FileNotFoundError: [Errno 2] No such file or directory: '/tmp/archerysec-scans-report/archerysec-owasp-zap-base-line-report.xml’错误;原因是下载的镜像启动默认是zap用户,生成的挂载目录默认是root权限的,所以没权限操作不能生成xml报告。可以写一个Dockerfile,改变默认启动用户为root重新build一下镜像,就能解决问题。
###cat Dockerfile
FROM archerysec/owasp-zap:latest
USER root
###
docker build -t archerysec/owasp-zap:latest .