//Mi sarebbe piaciuto anche un approccio lato codebase non ti offendere ma non puoi affrontare un argomento tale in questa maniera, stai facendo un polpettone... SAST/DAST/RASP vanno lungo tutta la CI/CD e a volte sono correlati a specifiche della tua pipe line, solo dopo fai un Pentest. Se usi un Openshift hai gia' una CI/CD strutturata in un modo SecDevOps, ma dipende da cosa hai e che linguaggi usi.
Non fai un pentest finche' non hai fatto una code review o perdi solo tempo. Leggiti un po' di SecDevOps, fatti un'idea di che tool usi e come funziona la tua integrazione...poi rifai le domande in base a cosa e' il tuo problema o qua il thread diventa wikipedia della webapp. Pentest e' l'ultimo anello, non il primo. ciao
