CTI論壇(ctiforum)2月26日消息(記者 李文杰): Google推出了云端安全掃描工具Google Cloud Security Scanner,協(xié)助PaaS服務(wù)使用者來(lái)掃描網(wǎng)絡(luò)應(yīng)用中所隱藏的弱點(diǎn)。Google為了解決其他的弱點(diǎn)掃描工具,并非適合用于Google App Engine,這些工具常會(huì)得出不正確的結(jié)果,且操作程序也過(guò)于復(fù)雜的問(wèn)題,如今使用者只需要在Google Cloud Security Scanner之中,貼上需要掃描的程式碼,Google就會(huì)協(xié)助使用者檢驗(yàn)隱藏在程式碼中,是否隱藏弱點(diǎn)。
隨著現(xiàn)在網(wǎng)絡(luò)應(yīng)用的結(jié)構(gòu)日趨復(fù)雜,大大增加了出現(xiàn)弱點(diǎn)的機(jī)率,有鑒于此,Google推出了云端安全掃描工具Google Cloud Security Scanner,協(xié)助PaaS服務(wù)使用者來(lái)掃描網(wǎng)絡(luò)應(yīng)用中所隱藏的弱點(diǎn)。
盡管市面上已經(jīng)出現(xiàn)了多款同類型的弱點(diǎn)掃描工具,如FormasaAuditor、Fierce等,但Google表示,其他的弱點(diǎn)掃描工具,并非適合用于Google App Engine,這些工具常會(huì)得出不正確的結(jié)果,且操作程序也過(guò)于復(fù)雜,Google為了解決此問(wèn)題,如今使用者只需要在Google Cloud Security Scanner之中,貼上需要掃描的程式碼,Google就會(huì)協(xié)助使用者檢驗(yàn)隱藏在程式碼中,是否隱藏弱點(diǎn)。
Google Cloud Security Scanner主要檢驗(yàn)在網(wǎng)絡(luò)應(yīng)用中常見的2個(gè)弱點(diǎn),如Cross-Site Scripting(XSS)與Mixed Content Scripts。
另外,Google也指出,由于HTML5和JavaScript為目前越來(lái)越多人使用的程式語(yǔ)言,而要在這兩項(xiàng)程式語(yǔ)言中找出弱點(diǎn),和以前的程式語(yǔ)言相比,其難度更高,因此,Google希望通過(guò)Google Cloud Security Scanner,來(lái)加快社群開發(fā)應(yīng)用程式的步伐。
不過(guò),Google安全工程主管Rob Mann提醒使用者,盡管已經(jīng)用Google Cloud Security Scanner掃描,結(jié)果發(fā)現(xiàn)沒(méi)有弱點(diǎn),但不代表真的在應(yīng)用程式中完全沒(méi)有弱點(diǎn),Mann建議使用者在運(yùn)用弱點(diǎn)掃描工具之外,還是需要閱讀專業(yè)人士所撰寫的安全評(píng)估報(bào)告。
不過(guò),目前Google Cloud Security Scanner仍處于測(cè)試階段,而Google表示,未來(lái)會(huì)推出更多功能,而且也歡迎開發(fā)者回饋相關(guān)的使用意見。
