Google выпустил сканер безопасности приложений

13

Google выпустил бета-версию сканера безопасности приложений Google Cloud Security Scanner. Программисты, использующие App Engine, смогут легко просканировать приложение на две распространенные уязвимости: межсайтовый скриптинг (XSS) и смешанный контент.

Разработчики сканера преследовали три основные цели:

  • создать простой в настройке и использовании инструмент;
  • обнаружить наиболее распространенные проблемы, с которыми сталкиваются разработчики App Engine, с минимальным уровнем ложных срабатываний;
  • поддержать сканирование сложных JavaScript- приложений.

Сканирование и тестирование современных HTML5 и JavaScript приложений с многоступенчатым пользовательским интерфейсом значительно сложнее, чем сканирование страницы HTML. Существует два основных подхода к этой проблеме: проанализировать HTML и эмулировать браузер или использовать реальный браузер. Каждый из подходов имеет свои недостатки, но Cloud Security Scanner устраняет их, используя многоступенчатую систему. С помощью Google Compute Engine разработчики создают динамический ботнет для сканирования сайта с частотой сканирования 20 запросов в секунду или ниже. В случае обнаружения проблем разработчик получит соответствующее уведомление. 

Как и все динамические сканеры, Cloud Security Scanner не способен обнаружить все ошибки безопасности, поэтому разработчики продукта советуют регулярно проводить проверки в ручном режиме.

В конце 2014 года Google получил расширенную поддержку Windows для своей облачной платформы Google Cloud Platform