記事登録
2008年07月04日(金) 13時59分

グーグル、Webアプリのセキュリティ検査ツールをオープンソースで公開——XSS攻撃などを許す問題点を抽出Computerworld.jp

 米国Googleは7月1日、自社で使用しているセキュリティ・テスト用ツール「Ratproxy」をオープンソース・ソフトウェアとして公開した。

【関連画像を含む詳細記事】

 Ratproxyは、Webアプリケーションをテスト対象とするセキュリティ・ツール。クロスサイト・スクリプティング(XSS)攻撃を許してしまうエラーや、キャッシングの問題を引き起こすエラーなど、さまざまなコーディング上の問題を検出する機能を備えている。

 Googleは、Ratproxyをオープンソース・ライセンス「Apache License 2.0」の下で無料提供する。「われわれがこのツールをオープンソースとして公開することに決めたのは、情報セキュリティ・コミュニティへの価値ある貢献になると考えたからだ。このツールは、Webにまつわるセキュリティ問題へのコミュニティの理解を促すだろう」と、Googleのミカル・ザレウスキー(Michal Zalewski)氏は同社ブログに記している。

 Ratproxyは、Googleの開発者向けサイト「Google Code」からダウンロードできる。なお、Apache License 2.0の下でライセンスされたコードは、商用アプリケーションを含む派生ソフトウェアに組み込むことが可能だが、コードの由来を明記する必要がある。

 Ratproxyの現時点のバージョンは1.51(ベータ版)で、パッシブ型のモードで動作する。これは、攻撃をシミュレートする大量のトラフィックをツール実行時に生成しないようにするためだと、Zalewski氏は説明している。ちなみに、これに対してアクティブ型スキャナは、アプリケーション・パフォーマンスの問題を引き起こす場合がある。

 もっとも、パッシブ・モードで動作することには欠点もある。問題個所としてハイライト表示される領域の中に、セキュリティ上の欠陥の原因ではないものが含まれることだ。この点はZalewski氏も認めており、収集した情報の分析はセキュリティ専門家に任せるよう助言している。

(Jeremy Kirk/IDG News Serviceロンドン支局)

【関連記事】
大規模なSQLインジェクション攻撃、中国/台湾でも猛威
[解説]SQLインジェクション攻撃の“第3の波”——大規模サイト・ハッキングは今後も続く
グーグルのWebアプリ、XSS攻撃のターゲットに
HP、Webアプリ・セキュリティ・ベンダーのSPIダイナミクスを買収
IBM、Webアプリ・セキュリティ・ベンダーのウォッチファイアを買収

http://headlines.yahoo.co.jp/hl?a=20080704-00000002-cwj-secu