Dastardlyは、CI/CDパイプラインのための、無償で軽量なWebアプリケーションセキュリティスキャナです。Web開発者向けに特化して設計されており、ソフトウェア開発時に関心を持たれやすい7つのセキュリティ問題について、アプリケーションをチェックできます。Dastardlyは、Burp Suite(Burp Scanner)と同じスキャナをベースにしています。
DastardlyはDockerを使用して、CI/CDパイプラインで実行されます。
Dastardlyを多くのCI/CDプラットフォームと統合するための具体的な手順と、DastardlyをあらゆるCI/CDプラットフォームと統合するための汎用docker runコマンドを用意しています。詳細は、"Dastardlyと既存のCI/CDプラットフォームの連携"を参照してください。
Dastardlyは最小限の設定しか必要ありません。Dastardlyのスキャンを実行する際にすべきことは、スキャンしたい開始URLの指定だけです。開始URLは、Dastardlyが対象Webアプリケーションをスキャンし始める位置です。Dastardlyはここから、開始URLより下の階層にあるすべてのURLをスキャンします。
Dastardlyは、動的な(DAST)手法で対象Webアプリケーションをスキャンします。デプロイされた状態の対象アプリケーションをスキャンします。これは、デプロイされる前にアプリケーションコードを調べる静的な(SAST)スキャンとは異なります。
Dastardlyのスキャンは10分以内に制限されています。大規模なWebアプリケーションや複雑なWebアプリケーションを完全に網羅するには、この時間では不十分かもしれない点に注意してください。Burp Suite Enterprise EditionやBurp Suite Professionalは、この制限を受けずにスキャンできます。
Dastardlyは、スキャンレポートをJUnit XML形式で出力します。Dastardlyが発見した問題には、詳細な改善アドバイスと、問題を見つけるためにDastardlyが送信したリクエストとアプリケーションから送信されたレスポンスが証拠として添付されています。
Dastardlyは、最低4つのCPUコアと4GBのRAMを搭載したマシンでの実行を推奨します。これはほとんどのユースケースに適しているはずですが、より大規模または複雑な対象アプリケーションでは、さらに多くのリソースが必要かもしれません。
CI/CDビルドエージェントやノードは、Dockerコンテナを実行するように設定されている必要があります。
Dockerが実行されているCI/CDビルドエージェントやノードから、PortSwiggerの公開イメージリポジトリ(public.ecr.aws/portswigger/)と、スキャンしたい対象アプリケーションにアクセスできる必要があります。
PortSwiggerは、Dastardlyを使用してアプリケーションをスキャンする際に遭遇する可能性のあるあらゆる問題に対するサポートを提供します。CI/CDプラットフォームに関する問題や、Dastardlyとそのプラットフォームとの連携に関するサポートは行っていません。
Dastardlyのスキャンに問題がある場合は、ユーザフォーラムやDastardlyのFAQを確認してください。