גוגל שחררה תוכנה חופשית לסריקת אבטחה של יישומי אינטרנט

גוגל (Google) שחררה בסוף השבוע תוכנה אוטומטית לסריקת אבטחה של יישומי אינטרנט. התוכנה החופשית, Skipfish, נועדה לסייע בצמצום מספרן של פרצות האבטחה.

אף על פי שהתפקודים של Skipfish מזכירים את אלה של תוכנות סריקה אחרות בעלות קוד פתוח, דוגמת Nikto ו-Nessus, נטען על ידי מיכל זלבסקי מגוגל, כי תוכנת Skipfish מציעה מספר יתרונות. היא פועלת בקצב מהיר הודות לטיפול יעיל בפרוטוקול HTTP וצריכה נמוכה של מחשבי עיבוד, והיא יכולה אף לטפל בקלות ב-2,000 בקשות לשנייה – הסביר זלבסקי בהודעה שפרסם בבלוג. בנוסף, השימוש בתוכנה קל, לטענתו, והוטמעה בה לוגיקת אבטחה מתקדמת המסייעת להפחית את הסבירות להתראות שווא.

השיטות שיושמו ב-Skipfish מזכירות את אלה שיושמו בכלי אבטחה אחר ששחררה גוגל ב-2008, בשם Ratproxy. "בדומה לכלי Ratproxy, אנחנו סבורים שתוכנת Skipfish היא תרומה חשובה לקהילה של אבטחת המידע, ותקל מאוד על ביצוע תכוף של הערכות אבטחה", כתב זלבסקי.

עם זאת, בתיעוד של תוכנת Skipfish הודה זלבסקי שאין מדובר בגלולת קסם נגד בעיות אבטחה, וכן שהתוכנה אינה עומדת בכל הדרישות של בדיקות מסוימות ואינה מתאימה לכל סוגי הבדיקות.

הצורך בכלים לבדיקת אבטחה של יישומי אינטרנט ברור: מדו"ח שפרסמה חברת האבטחה Cenzik ביחס למחצית השנייה של שנת 2009 עולה, כי ב-90% מיישומי האינטרנט נתגלו פרצות. חברת Cenzik עצמה מציעה שירות מסחרי לסריקת פרצות, במחיר של 399 דולרים לשנה.