CTI論壇(ctiforum)2月26日消息(記者 李文杰): Google推出了云端安全掃描工具Google Cloud Security Scanner,協(xié)助PaaS服務(wù)使用者來(lái)掃描網(wǎng)絡(luò )應用中所隱藏的弱點(diǎn)。Google為了解決其他的弱點(diǎn)掃描工具,并非適合用于Google App Engine,這些工具常會(huì )得出不正確的結果,且操作程序也過(guò)于復雜的問(wèn)題,如今使用者只需要在Google Cloud Security Scanner之中,貼上需要掃描的程式碼,Google就會(huì )協(xié)助使用者檢驗隱藏在程式碼中,是否隱藏弱點(diǎn)。
隨著(zhù)現在網(wǎng)絡(luò )應用的結構日趨復雜,大大增加了出現弱點(diǎn)的機率,有鑒于此,Google推出了云端安全掃描工具Google Cloud Security Scanner,協(xié)助PaaS服務(wù)使用者來(lái)掃描網(wǎng)絡(luò )應用中所隱藏的弱點(diǎn)。
盡管市面上已經(jīng)出現了多款同類(lèi)型的弱點(diǎn)掃描工具,如FormasaAuditor、Fierce等,但Google表示,其他的弱點(diǎn)掃描工具,并非適合用于Google App Engine,這些工具常會(huì )得出不正確的結果,且操作程序也過(guò)于復雜,Google為了解決此問(wèn)題,如今使用者只需要在Google Cloud Security Scanner之中,貼上需要掃描的程式碼,Google就會(huì )協(xié)助使用者檢驗隱藏在程式碼中,是否隱藏弱點(diǎn)。
Google Cloud Security Scanner主要檢驗在網(wǎng)絡(luò )應用中常見(jiàn)的2個(gè)弱點(diǎn),如Cross-Site Scripting(XSS)與Mixed Content Scripts。
另外,Google也指出,由于HTML5和JavaScript為目前越來(lái)越多人使用的程式語(yǔ)言,而要在這兩項程式語(yǔ)言中找出弱點(diǎn),和以前的程式語(yǔ)言相比,其難度更高,因此,Google希望通過(guò)Google Cloud Security Scanner,來(lái)加快社群開(kāi)發(fā)應用程式的步伐。
不過(guò),Google安全工程主管Rob Mann提醒使用者,盡管已經(jīng)用Google Cloud Security Scanner掃描,結果發(fā)現沒(méi)有弱點(diǎn),但不代表真的在應用程式中完全沒(méi)有弱點(diǎn),Mann建議使用者在運用弱點(diǎn)掃描工具之外,還是需要閱讀專(zhuān)業(yè)人士所撰寫(xiě)的安全評估報告。
不過(guò),目前Google Cloud Security Scanner仍處于測試階段,而Google表示,未來(lái)會(huì )推出更多功能,而且也歡迎開(kāi)發(fā)者回饋相關(guān)的使用意見(jiàn)。
