CTI论坛(ctiforum)2月26日消息(记者 李文杰): Google推出了云端安全扫描工具Google Cloud Security Scanner,协助PaaS服务使用者来扫描网络应用中所隐藏的弱点。Google为了解决其他的弱点扫描工具,并非适合用于Google App Engine,这些工具常会得出不正确的结果,且操作程序也过于复杂的问题,如今使用者只需要在Google Cloud Security Scanner之中,贴上需要扫描的程式码,Google就会协助使用者检验隐藏在程式码中,是否隐藏弱点。
随着现在网络应用的结构日趋复杂,大大增加了出现弱点的机率,有鉴于此,Google推出了云端安全扫描工具Google Cloud Security Scanner,协助PaaS服务使用者来扫描网络应用中所隐藏的弱点。
尽管市面上已经出现了多款同类型的弱点扫描工具,如FormasaAuditor、Fierce等,但Google表示,其他的弱点扫描工具,并非适合用于Google App Engine,这些工具常会得出不正确的结果,且操作程序也过于复杂,Google为了解决此问题,如今使用者只需要在Google Cloud Security Scanner之中,贴上需要扫描的程式码,Google就会协助使用者检验隐藏在程式码中,是否隐藏弱点。
Google Cloud Security Scanner主要检验在网络应用中常见的2个弱点,如Cross-Site Scripting(XSS)与Mixed Content Scripts。
另外,Google也指出,由于HTML5和JavaScript为目前越来越多人使用的程式语言,而要在这两项程式语言中找出弱点,和以前的程式语言相比,其难度更高,因此,Google希望通过Google Cloud Security Scanner,来加快社群开发应用程式的步伐。
不过,Google安全工程主管Rob Mann提醒使用者,尽管已经用Google Cloud Security Scanner扫描,结果发现没有弱点,但不代表真的在应用程式中完全没有弱点,Mann建议使用者在运用弱点扫描工具之外,还是需要阅读专业人士所撰写的安全评估报告。
不过,目前Google Cloud Security Scanner仍处于测试阶段,而Google表示,未来会推出更多功能,而且也欢迎开发者回馈相关的使用意见。
