URN_NBN_SI_DOC-RKSH48DC

SIR * IUS, september 2020 18 OWASP ZAP se lahko tudi vgradi v »build process« pri razvoju programske opreme in skrbi za to, da se pri testiranju programske opreme avtomatsko izvrši testiranje spletne aplikacije za najbolj znane pomanjkljivostmi. Ima namreč t. i. način delovanja »headless«, kar pomeni, da ga lahko zaženemo brez grafičnega vmesnika in v ozadju izvede testiranje v skladu s testnim načrtom. 14. OWASP Dependency-Check To orodje [10] omogoča enostavno preverjanje odvisnosti aplikacije od drugih knjižnic ali projektov. Ko orodje zazna uporabo zunanjih knjižnic, jih poskuša prepoznati in določiti različice uporabljenih knjižnic. V naslednjem koraku na spletu preverja, ali imajo te knjižnice tudi kakšne javno znane ranljivosti. Če najde te ranljivosti, potem pripravi poročilo o tem. Orodje pripravi podrobno poročilo o ranljivostih in tudi prikaže povezave z znanimi ranljivostmi, kjer lahko hitro pridobimo podatke o tem, kakšne ranljivosti imajo knjižnice, in tudi, ali obstaja izkoriščevalska koda za te ranljivosti. Tako lahko na enostaven način hitro pridobimo podatke o tem, kako dobro so razvijalci poskrbeli za posodabljanje knjižnic. Uporaba te knjižnice se lahko priporoča tudi za integracijo procesa grajenja programske kode (angl. build process) in tako razvijalci dobijo hitro povratno informacijo, ali imajo zunanje uporabljene knjižnice kakšne ranljivosti. Orodje je idealno za sledenje točki OWASP TOP 10, » OWASP Top 10 2017: A9 – Using Components with Known Vulnerabilities«.