Le necessità degli sviluppatori non sono identiche a quelle dei professionisti della security: ai primi servono soprattutto strumenti agili da usare, che non rallentino la creazione e la distribuzione delle app. Per questo Google ha deciso di lanciare una nuova funzionalità, Cloud Security Scanner, che si propone come alternativa ai programmi commerciali deputati alla verifica delle applicazioni in via di sviuppo. E che è cucita a misura di developer.
Proposto al momento in versione beta, utilizzabile gratuitamente dagli iscritti al servizio cloud Google App Engine, il nuovo strumento promette innanzitutto di aggirare un problema ricorrente nei security scanner commerciali: il rilevamento di falsi positivi, frutto della tendenza a segnalare fin troppo scrupolosamente possibili difetti di codice.
A detta di Google, come scrive sul blog dell’azienda il security engineering manager Rob Mann, questi strumenti “sono spesso difficili da impostare e tendono a segnalare in modo eccessivo i problemi (falsi positivi)”, causando perdite di tempo e inutile stress ai programmatori.
Il nuovo sistema è stato progettato da Big G con un triplice obiettivo: la facilità di utilizzo, la capacità di scovare “la maggior parte dei problemi con cui gli sviluppatori dell’App Engine hanno comunemente a che fare” e infine il supporto alle applicazioni Web ricche di JavaScript e Html5. Lo scanner è particolarmente efficace nell’individuare gli errori di codice che potrebbero favorire due tipi di attacchi: quelli Xss, cioè di cross side scripting, frequenti nelle pagine Web aperte ai contributi degli utenti, come i forum di discussione; e quelli cosiddetti “mixed content”, che sfruttano i siti composti sia da pagine ad alta sicurezza, Https, sia da normale codice Http.