Что такое OWASP ZAP?

OWASP ZAP (Zed Attack Proxy) — бесплатный open-source security scanner. Возможности: passive scanning (анализирует трафик не атакуя), active scanning (активный поиск уязвимостей), spider (обходит все страницы), fuzzer, API scanning (импорт OpenAPI). Отличие от Burp: бесплатный, меньше функций, лучше подходит для CI интеграции. ZAP в CI: zap-full-scan.py или Docker образ. Запускаем против staging автоматически. Хорошо для compliance требований и первичного security scan. Используем совместно с manual тестированием в Burp.