Google выпустил бета-версию сканера безопасности приложений Google Cloud Security Scanner. Программисты, использующие App Engine, смогут легко просканировать приложение на две распространенные уязвимости: межсайтовый скриптинг (XSS) и смешанный контент.
Разработчики сканера преследовали три основные цели:
- создать простой в настройке и использовании инструмент;
- обнаружить наиболее распространенные проблемы, с которыми сталкиваются разработчики App Engine, с минимальным уровнем ложных срабатываний;
- поддержать сканирование сложных JavaScript- приложений.
Сканирование и тестирование современных HTML5 и JavaScript приложений с многоступенчатым пользовательским интерфейсом значительно сложнее, чем сканирование страницы HTML. Существует два основных подхода к этой проблеме: проанализировать HTML и эмулировать браузер или использовать реальный браузер. Каждый из подходов имеет свои недостатки, но Cloud Security Scanner устраняет их, используя многоступенчатую систему. С помощью Google Compute Engine разработчики создают динамический ботнет для сканирования сайта с частотой сканирования 20 запросов в секунду или ниже. В случае обнаружения проблем разработчик получит соответствующее уведомление.
Как и все динамические сканеры, Cloud Security Scanner не способен обнаружить все ошибки безопасности, поэтому разработчики продукта советуют регулярно проводить проверки в ручном режиме.
В конце 2014 года Google получил расширенную поддержку Windows для своей облачной платформы Google Cloud Platform.