Continuando con lo que parece ser una estrategia para mejorar la experiencia de seguridad en distintos niveles, Google ha presentado una herramienta para escanear vulnerabilidades denominada Google Cloud Security Scanner, la cual se encuentra en vesión beta.
Como su nombre lo indica, se trata de un escáner pensado para aplicaciones web desarrolladas en su plataforma en la nube, que le permite a programadores de App Engine revisarlas regularmente en busca de dos tipos comunes de vulnerabilidades:
- Cross-Site Scripting (XSS)
- Mixed Content
Según Google, estos son los dos tipos de fallas con las que más se encuentran aquellos que podrían ahora comenzar a utilizar esta herramienta. La siguiente captura muestra los resultados de una evaluación:
"Presentar una nueva construcción es emocionante, pero todo lanzamiento debería ser escaneado en busca de vulnerabilidades. Y mientras que los escáneres de seguridad para aplicaciones web han existido por años, no siempre están bien adaptados para desarrolladores de Google App Engine. Generalmente son difíciles de instalar, propensos a reportar problemas de más (falsos positivos) -que pueden demandar mucho tiempo en filtro y clasificación- y están construidos para profesionales de seguridad, no para desarrolladores", afirma el comunicado de Rob Mann, Security Engineering Manager de Google.
Los objetivos en este caso, dice, son hacer una herramienta fácil de usar y configurar, detectar los problemas más comunes que enfrentan los desarrolladores con tasas mínimas de falsos positivos, y poder escanear aplicaciones web con "mucho" JavaScript. Para acceder a una primera evaluación, se debe ir desde la consola de desarrolladores de Google a Compute > App Engine > Security scans.
¿Cómo funciona Google Cloud Security Scanner?
Para entender el funcionamiento de esta herramienta, vale la pena mencionar que las aplicaciones desarrolladas para la plataforma de Google App Engine consisten en documentos HTML5, con contenido con robustas interfaces de usuario y cargados de código JavaScript. Por ello, "parsear" este tipo de aplicaciones es un poco más complejo que hacerlo con código HTML simple. Teniendo esto en mente, esto se puede hacer de dos formas:
- Una es rápida, pero no es completa y puede perder acciones
- La otra simula la ejecución de forma mucho más fiel, pero requiere de más tiempo
¿Qué hace Cloud Security Scanner entonces? Usa una estrategia de varias etapas encadenadas. Primero se hace un parseo rápido del documento, y después se pasa a la etapa más rigurosa (y lenta).
Si bien esta estrategia implementada por Google es más rápida que la ejecución en un navegador real, sigue siendo lenta. Entonces, en lugar de correr el análisis en forma lineal, lo escala horizontalmente: esto significa que se ponen varios procesos a escanear el documento en forma simultánea, reduciendo los tiempos.
Luego, se comprueba la seguridad "atacando" la aplicación. Vale destacar que los procesos son benignos, así que el desarrollador no tiene que preocuparse. Teniendo en cuenta la importancia de identificar, analizar y evaluar vulnerabilidades, esta es sin dudas una herramienta de utilidad para evitar la explotación de fallas que podrían comprometer la seguridad de la aplicaciones.