# OWASP ZAP ##### Descripción [OWASP ZAP](https://www.zaproxy.org/) es una herramienta de escaneo de seguridad para aplicaciones web, mantenida por OWASP. Detecta vulnerabilidades como XSS, SQLi, etc. ##### Uso local ``` # Interfaz gráfica zap.sh # Escaneo desde CLI zap-baseline.py -t http://localhost:8080 -r reporte.html ``` ##### Reportes - HTML, XML, Markdown. - Exportables a [JIRA](https://kasunbalasooriya.medium.com/an-add-on-for-owasp-zap-to-export-alerts-of-a-web-application-as-issues-to-jira-891ea1698fbf), [DefectDojo](https://www.oreilly.com/library/view/practical-security-automation/9781789802023/f4257a2e-c9e4-414b-8bde-d03db248cee7.xhtml), etc. ##### Integración en CI/CD - Una [acción de GitHub](https://github.com/zaproxy/action-baseline) para ejecutar el ZAP [Baseline scan](https://www.zaproxy.org/docs/docker/baseline-scan/) para encontrar vulnerabilidades en su aplicación web. ``` - name: ZAP Scan uses: zaproxy/action-baseline@v0.14.0 with: token: ${{ secrets.GITHUB_TOKEN }} docker_name: 'ghcr.io/zaproxy/zaproxy:stable' target: 'https://www.zaproxy.org' rules_file_name: '.zap/rules.tsv' cmd_options: '-a' ``` ##### Integraciones - GitHub, Jira (plugin). - [Slack](https://github.com/zakrush/zap_api_scripts), Teams: notificaciones mediante scripting. - VSCode: sin integración directa, pero puede abrirse con CLI. ##### UI - GUI muy completa (modo GUI, CLI y daemon). ##### Licencia - **Open source (Apache 2.0)**. - Disponible para máquinas virtuales, también en Docker. ##### Facilidad de uso - Moderado. Ideal para usuarios con conocimiento en pruebas de seguridad web. ##### Cumplimiento con estándares: - **OWASP:** Está alineado directamente con el OWASP Top 10, siendo una herramienta oficial de la fundación. - **NIST:** Se alinea con NIST 800-53 (RA-5: escaneo de vulnerabilidades, CA-7: monitoreo continuo). - **ISO/IEC 27001:** Permite cumplir con controles como A.12.6.1 (gestión de vulnerabilidades) y A.14.2.8 (pruebas técnicas). - **PCI DSS:** Soporta los requerimientos de pruebas de seguridad continuas (requisito 11.2).