Browsing by Subject "ZAP"

Web-sovellusten tietoturva on jokaiselle internetin käyttäjälle tärkeä asia. Yksittäiseen sivustoon tai web-palveluun tapahtuvasta tietomurrosta voi seurata palvelun käyttäjille paljon harmia, joka olisi usein ollut estettävissä. Pienellä vaivalla toteutettavissa olevalla automaattisella tietoturvaskannauksella pystytään havaitsemaan suuri osa web-sovellusten haavoittuvuuksista. Tässä työssä tutkitaan automaattisen tietoturvaskannauksen liittämistä sovelluksen kehitysprosessiin. Lisäämällä tietoturvaskannaus osaksi kehitettävien sovelluksien jatkuvaa koontiajoa pyritään parantamaan sovellusten tietoturvaa havaitsemalla uudet haavoittuvuudet heti niiden synnyttyä. Automaattisen tietoturvaskannauksen käyttämisellä osana regressiotestausta pyritään myös vähentämään käsin tehtävän testauksen määrää, sekä parantamaan sovelluksen tietoturvaa kehitysprosessin jokaisessa vaiheessa. Tämän työn tavoitteena on tuottaa yksinkertainen ja tehokas GitLab CI -koontiajoon liitettävä tietoturvaskannauksen tekevä komponentti, joka on helppo lisätä myös tuleviin sovellusprojekteihin. Komponentti hyödyntää Arachni- ja ZAP-nimisiä avoimen lähdekoodin skannausohjelmistoja. Työssä selvitetään samalla, kuinka helppoa tämä tietoturvatarkistuksen tekevä komponentti on pystyttää ja miten pienellä vaivalla sen uudelleenkäyttö muissa sovellusprojekteissa onnistuu. Lisäksi tutkitaan, kuinka tehokkaasti toteutettu järjestelmä löytää haavoittuvuuksia sovelluksista.