Google lancia il Cloud Security Scanner

Il gruppo di Mountain View mette oggi a disposizione un nuovo tool indirizzato agli sviluppatori, dedicato in particolare a chi utilizza il Google App Engine: si chiama Google Cloud Security Scanner e al momento è disponibile in versione beta. Come ben comprensibile già dal nome si tratta di uno strumento pensato per la scansione delle Web app, in modo da scovare le possibili vulnerabilità contenute all’interno del codice.

In un post condiviso sul blog ufficiale, bigG spiega quali sono state le motivazioni che hanno spinto alla creazione del Cloud Security Scanner. Sono tre gli obiettivi che si è posto il team di Google al lavoro sul progetto: rendere il servizio semplice da configurare e da utilizzare, aiutare nell’individuazione dei problemi più comuni riducendo al minimo il numero di falsi positivi segnalati e garantire la piena compatibilità alle applicazioni Web che fanno largo uso di JavaScript.

Rilasciare una nuova build è eccitante, ma ogni release dovrebbe essere controllata attentamente per scovare eventuali vulnerabilità legate alla sicurezza. Nonostante gli strumenti per la scansione delle Web app esistano da anni, non sempre sono ottimizzati per gli sviluppatori che utilizzano il Google App Engine. Spesso risultano difficili da configurare, segnalano frequentemente dei falsi positivi (difficoltosi da filtrare) e sono pensati per i professionisti della sicurezza, non per chi sviluppa.

Nella realizzazione del Cloud Security Scanner, il motore di ricerca si è concentrato in particolare su due dei problemi principali che affliggono gli sviluppatori impegnati nella creazione di Web app, ovvero il cross-site scripting (XSS) che affligge i form dei siti dinamici e il mixed content, un tipo di vulnerabilità già affrontato anche dal W3C.