Un scanner gratuit de vulnérabilités pour Google App Engine
Google vient de présenter en bêta un outil gratuit de détection des vulnérabilités dans les applications Web s’appuyant sur son service App Engine.
Google vient de présenter en bêta un outil gratuit de détection des vulnérabilités dans les applications Web s’appuyant sur son service App Engine.
Baptisé Google Cloud Security Scanner, l’outil « parcourt votre application, suivant tous les liens dans le périmètre de vos URLs de départ, et tente d’exercer autant de saisies utilisateur et de gestionnaires d’événements que possible ». Le géant du Web précise que son outil ne fonctionne qu’avec les instances App Engine standard : il n’est pas utilisable avec les machines virtuelles gérées via App Engine, ni Google Compute Engine, « ni d’autres ressources ».
Identifier les vulnérabilités les plus triviales
Pour Google, ce scanner est un « complément » des « processus de conception et de développement sûrs » existants. Et de souligner qu’il « ne remplace pas les tests de sécurité manuels et ne garantit pas que l’application est dépourvue de failles ». En outre, Google indique l’avoir conçu pour « minimiser les faux positifs », donc, « il ne trouvera pas tous les types possibles de vulnérabilités ».
Pas question, donc, pour ce service de venir concurrencer les solutions de Qualys, de NetSparker, ou encore de HP, avec WebInspect, et d’IBM, avec Appscan, mais un début, gratuit, qui permettra peut-être de boucher les trous les plus béants.