Google App Engineで手軽にセキュリティ スキャン
こんなに手軽にセキュリティスキャンできるとは思ってなかった。
Web アプリケーションを開発していると、セキュリティに問題がないか不安ですよね。開発後半になると、話題に上がる「セキュリティ診断どうする?」ツールやサービスを使って、スポットで診断しても良いのですが、Google App Engine なら、セキュリティ スキャンを定期的に、または即時実行できますよ!
使ってみた
セキュリティ スキャンは、App Engine のコンソールを開いて左ナビゲーションの「Security scans」から設定できます。
設定の仕方はそれほど迷わないと思います。「Create scan」ボタンをクリックして、必要な情報を入力します。
任意の名前を入力し、セキュリティスキャンを開始する URL を登録。除外する URL があれば任意で登録します。
もし、認証が必要な場合は、Authentication の設定にて、Google account or Non-Google account (フォーム認証)の情報を設定します。
最後に「Create」ボタンをクリック作成は完了です。
実行は指定したスケジュールを待つか、「Run scan」をクリックすると即時実行できます。
簡単ですね。スタートURLをクローリングし、セキュリティ スキャンが開始されます。
セキュリティ スキャン後問題なければ、「Results」欄に以下のように表示されます。問題があった場合は解決策の表示もされるとのことなんですが、今回はそこまで試してません。すみません m(__)m
「URLs tested」タブでは、スキャンしたURLの一覧を確認することができます。
簡単なレポートですが、第3者の視点でスキャンして問題がなかったと言う安心感がありますね。
何がスキャンされるのか?
Google Cloud Security Scanner は、Google App Engine を利用しているアプリケーションの クロス サイト スクリプティング(XSS)、フラッシュ インジェクション、混在コンテンツ(HTTPS 内の HTTP)、更新されていない / 安全ではないライブラリなど、4 つのよくある脆弱性に対して自動的にスキャンし、脅威を検出してくれるそうです。
まとめ
Google Cloud Security Scanner は、本当に手軽に実行でき、開発者が面倒な作業を自動でやってくれます。この機能があるだけでも、Google App Engine を使用する理由になるのではないでしょうか?
Google App Engine を触っていると、本当に開発のコードだけに集中できる良いサービスだなと感じます。