OWASP ZAP
OWASP ZAP とは何ですか?
OWASP ZAPOWASP 由来の Web アプリ向けオープンソース・セキュリティテストツール Zed Attack Proxy。現在は Checkmarx と ZAP コミュニティが共同で運営している。
OWASP Zed Attack Proxy(ZAP)は、Web アプリと API 向けのオープンソース DAST ツールで、インターセプトプロキシ・自動スキャナー・ファザーとして機能します。ZAP は自動スキャン、Burp 風の UI による手動テスト、JavaScript・Python などでのスクリプト拡張、ZAP API による REST 自動化、Docker イメージや GitHub Actions を介した CI/CD 連携をサポートします。2024 年に運営が OWASP プロジェクトから Checkmarx に移管されましたが、Apache 2.0 ライセンスで無償・オープンソースのままです。セキュリティチームはパイプラインでの夜間 DAST、ペンテスト、研修で活用しています。
● 例
- 01
GitHub Actions のワークフローで ZAP ベースラインスキャンを実行し、各 PR の明白な設定不備を検出する。
- 02
手動ペンテスト中に ZAP HUD で GraphQL リクエストを傍受・改変する。
● よくある質問
OWASP ZAP とは何ですか?
OWASP 由来の Web アプリ向けオープンソース・セキュリティテストツール Zed Attack Proxy。現在は Checkmarx と ZAP コミュニティが共同で運営している。 サイバーセキュリティの コンプライアンスとフレームワーク カテゴリに属します。
OWASP ZAP とはどういう意味ですか?
OWASP 由来の Web アプリ向けオープンソース・セキュリティテストツール Zed Attack Proxy。現在は Checkmarx と ZAP コミュニティが共同で運営している。
OWASP ZAP からどのように防御しますか?
OWASP ZAP に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
OWASP ZAP の別名は何ですか?
一般的な別名: Zed Attack Proxy, ZAP。