Google ha introducido una herramienta de análisis de aplicaciones para los usuarios de su plataforma como servicio (PaaS), que hace posible detectar eventuales fallas de seguridad en las aplicaciones que se ejecutan dentro de su infraestructura en la nube.
El escáner de seguridad de Google Cloud se encuentra actualmente en fase beta y opera en Google App Engine.
Según Google, algunas herramientas similares ocasionalmente no logran detectar problemas de seguridad al escanear apps ejecutadas en su plataforma PaaS.
“Mientras que los escáneres de seguridad de aplicaciones web han existido por años, no siempre son compatibles con las necesidades de los desarrolladores de Google App Engine”, escribe Google en su blog. “Son a menudo difíciles de establecer, a la vez que tienen una tendencia a reportar un exceso de incidencias (falsos positivos) – que puede llevar mucho tiempo filtrar. Aparte de ello, han sido diseñadas para profesionales de la seguridad, no para desarrolladores”.
En particular, el escáner de seguridad de Google Cloud está configurado para detectar cross-site scripting (XSS) y vulnerabilidades de contenido mixto en las aplicaciones web.
Con todo, Google recomienda a los usuarios no confiar únicamente en la herramienta para asegurarse de que sus aplicaciones estén libres de vulnerabilidades. “El escáner complementa los procesos existentes de diseño y desarrollo seguro. No sustituye a una revisión de seguridad manual, y no garantiza que su app esté libre de defectos de seguridad”, escribe la empresa.
“El escáner minimiza los falsos positivos, por lo que no encontrará todo tipo posible de vulnerabilidades”, concluye señalando Google.
—
Ilustración: RoSonic © Shutterstock.com
