Continuando con lo que parece ser una estrategia para mejorar la experiencia de seguridad en distintos niveles, Google ha presentado una herramienta para escanear vulnerabilidades denominada Google Cloud Security Scanner, la cual se encuentra en vesión beta.

escaner_vulnerabilidades_google

Como su nombre lo indica, se trata de un escáner pensado para aplicaciones web desarrolladas en su plataforma en la nube, que le permite a programadores de App Engine revisarlas regularmente en busca de dos tipos comunes de vulnerabilidades:

  • Cross-Site Scripting (XSS)
  • Mixed Content

Según Google, estos son los dos tipos de fallas con las que más se encuentran aquellos que podrían ahora comenzar a utilizar esta herramienta. La siguiente captura muestra los resultados de una evaluación:

escaner_resultados

«Presentar una nueva construcción es emocionante, pero todo lanzamiento debería ser escaneado en busca de vulnerabilidades. Y mientras que los escáneres de seguridad para aplicaciones web han existido por años, no siempre están bien adaptados para desarrolladores de Google App Engine. Generalmente son difíciles de instalar, propensos a reportar problemas de más (falsos positivos) -que pueden demandar mucho tiempo en filtro y clasificación- y están construidos para profesionales de seguridad, no para desarrolladores”, afirma el comunicado de Rob Mann, Security Engineering Manager de Google.

Los objetivos en este caso, dice, son hacer una herramienta fácil de usar y configurar, detectar los problemas más comunes que enfrentan los desarrolladores con tasas mínimas de falsos positivos, y poder escanear aplicaciones web con “mucho” JavaScript. Para acceder a una primera evaluación, se debe ir desde la consola de desarrolladores de Google a Compute > App Engine > Security scans.

¿Cómo funciona Google Cloud Security Scanner?

Si bien esta estrategia implementada por Google es más rápida que la ejecución en un navegador real, sigue siendo lenta. Entonces, en lugar de correr el análisis en forma lineal, lo escala horizontalmente: esto significa que se ponen varios procesos a escanear el documento en forma simultánea, reduciendo los tiempos.

Luego, se comprueba la seguridad “atacando” la aplicación. Vale destacar que los procesos son benignos, así que el desarrollador no tiene que preocuparse. Teniendo en cuenta la importancia de identificar, analizar y evaluar vulnerabilidades, esta es sin dudas una herramienta de utilidad para evitar la explotación de fallas que podrían comprometer la seguridad de la aplicaciones.

Contenido completo en fuente original: WeLiveSecurity