脆弱性診断作業を自動化するためのノウハウを集めた書籍

OWASP ZAPとGitHub Actionsで自動化する脆弱性診断

OWASP ZAPとGitHub Actionsで自動化する脆弱性診断

インプレスグループで電子出版事業を手がけるインプレスR&Dは、技術書典や技術書同人誌博覧会をはじめとした各種即売会や、勉強会・LT会などで頒布された技術同人誌を底本とした商業書籍を刊行し、技術同人誌の普及と発展に貢献することを目指し最新の知見を発信する技術の泉シリーズ2021年10月新刊として、松本隆則氏著書による、オープンソースの脆弱性診断ツール「OWASP ZAP」とCI/CDツール「GitHub Actions」を使用して脆弱性診断作業を自動化するためのノウハウを集めた書籍「OWASP ZAPとGitHub Actionsで自動化する脆弱性診断」を発売した。

松本隆則Profile●JavaやPHP、PythonなどによるWebアプリケーション開発業務を経験したのちにセキュリティエンジニアとなる。2014年にコミュニティ「脆弱性診断研究会」を立ち上げ、ハンズオンセミナーや技術同人誌頒布などを通じて脆弱性診断の考え方や手法などの啓蒙活動を行う。国際的なセキュリティの非営利団体「OWASP」が公開するオープンソースの脆弱性診断ツール「OWASP ZAP」に関連するコミュニティ活動が認められ、2019年に「ZAP Evangelist」に登録された。

技術の泉シリーズについて

技術の泉シリーズは、技術者の知見のアウトプットである技術同人誌を底本とした、2017年創刊の技術書シリーズ。NextPublishingによるスピーディーな編集制作とプリントオンデマンドによる1冊からの印刷製本により、技術の変化に追従しつつ返品や品切れのないサスティナブルな出版モデルを特徴としている。技術の泉シリーズを通じて、エンジニアの“知の結晶”である技術同人誌の世界に、より多くの人が触れることができるきっかけとなることを目指している。

「OWASP ZAPとGitHub Actionsで自動化する脆弱性診断」発行主旨・内容紹介

オープンソースの脆弱性診断ツール「OWASP ZAP」とCI/CDツール「GitHub Actions」を使用して脆弱性診断作業を自動化するためのノウハウを集めた書籍。

前半ではJavaで作られたサンプルアプリケーションに対して自動診断を実施する方法を説明しています。前半では最低限の設定で自動診断を実施し、後半ではその設定では診断できないログイン後の画面を診断する方法を解説している。

「OWASP ZAPとGitHub Actionsで自動化する脆弱性診断」は、次世代出版メソッド「NextPublishing」を使用し、出版されている。

「OWASP ZAPとGitHub Actionsで自動化する脆弱性診断」目次

第1章　Quick Start
第2章　GitHub Actionsのワークフロー
第3章　デフォルト設定による自動診断の問題点
第4章　ちょっと複雑な診断対象アプリのセットアップ
第5章　ワークフローを新規追加
第6章　OWASP ZAPのログイン設定
第7章　GitHub Actionsにコンテキストを登録
第8章　ワークフロー修正
付録A　Java 11 (JDK)のインストール
付録B　OWASP ZAPのセットアップ