Google Cloud Security Scanner es la herramienta en versión beta presentada por la trasnacional. Su función es analizar las aplicaciones web desarrolladas en su plataforma en la nube para identificar vulnerabilidades de Cross-Site Scripting (XSS) y Mixed Content.
Pensada en desarrolladores de Google App Engine, la herramienta detecta los problemas más comunes con tasas mínimas de falsos positivos. Para entender su funcionamiento, es importante tener en cuenta que las aplicaciones desarrolladas para la plataforma de Google consisten en documentos HTML5, con robustas interfaces de usuario y cargados de código JavaScript.
De este modo, Cloud Security Scanner comprende varias etapas encadenadas. Primero hace un “parseo” (examinación de símbolos) rápido del documento y de manera posterio, escala el análisis de forma horizontal; es decir, ejecuta varios procesos que escanean el documento en forma simultánea para reducir los tiempos.
Luego, se comprueba la seguridad con un “ataque” a la aplicación mediante un proceso benigno. Así, los desarrolladores tendrán una noción de las brechas a las cuales se expone su trabajo.
Para acceder a una primera evaluación, se debe ir desde la consola de desarrolladores de Google a Compute > App Engine > Security scans.
