OWASP ZAPというオープンソースのセキュリティ診断ツールがあるので、それを試してみようと思います。

TOPページよりDownloadボタンを押下すると下記のような画面が表示されます。
 

Macのインストーラー版もあるようでしたが、（はてブの記事でDocker版があるのを見たので）今回はお手軽にDocker版を試してみようと思います。

※ Docker自体のインストールは こちらの記事「【Docker】Mac に Docker Desktop をインストールする【Mac】」をあわせて御覧ください！

コマンド（ターミナル）でDockerイメージ owasp/zap2docker-stable をプルします。

※ 今回は Stable版（安定版）にしました。

$ docker pull owasp/zap2docker-stable

上記を実行してしばらくするとダウンロードが完了します。

Docker版ZAPのスキャンタイプにはいくつかの種類があるようです。

今回はBaseline Scanを行ってみました。

（攻撃および負荷のあるアクセスを伴わない静的スキャンらしいです）

次のコマンドで実行が可能です。

このブログ https://blog.kaburk.com/に対してBasline Scanを実行してみます。

docker run -t owasp/zap2docker-stable zap-baseline.py -t https://blog.kaburk.com/

診断結果としていくつかのwarningが検出されました…。

詳細な説明はZAP Alert Detailsのページに記載されいるようです。

• ZAP Alert Details | ZAP

時間を見て対応できそうな対策を実施したいと思います。

OWASP ZAPのことは知っていましたが、インストールとか結構面倒なのかなと思ってやってませんでした。
（やればいいんだけどなんとなく）

今回Docker版がある事を知ったので早速試してみました。

オープンソースのツールで簡単に脆弱性診断が実施できるのはなかなかよいですよね！