Ir al contenido principal

OWASP ZAP

Descripción

OWASP ZAP es una herramienta de escaneo de seguridad para aplicaciones web, mantenida por OWASP. Detecta vulnerabilidades como XSS, SQLi, etc.

Uso local
# Interfaz gráfica
zap.sh

# Escaneo desde CLI
zap-baseline.py -t http://localhost:8080 -r reporte.html
Reportes

  • HTML, XML, Markdown.

  • Exportables a JIRA, DefectDojo, etc.

Integración en CI/CD

  • A GitHub Action for running the ZAP Baseline scan to find vulnerabilities in your web application.

      - name: ZAP Scan
        uses: zaproxy/action-baseline@v0.14.0
        with:
          token: ${{ secrets.GITHUB_TOKEN }}
          docker_name: 'ghcr.io/zaproxy/zaproxy:stable'
          target: 'https://www.zaproxy.org'
          rules_file_name: '.zap/rules.tsv'
          cmd_options: '-a'
Integraciones

  • GitHub, Jira (plugin).

  • Slack, Teams: notificaciones mediante scripting.

  • VSCode: sin integración directa, pero puede abrirse con CLI.

Volver arriba