据台湾媒体报道,谷歌在本周宣布释出内部所使用的被动式网络应用程序安全评估工具RatProxy的源码。
RatProxy是谷歌信息安全技术团队所研发的程序安全检测工具,一向为谷歌内部所使用。谷歌信息安全工程师Michal Zalewski表示,谷歌决定将该工具免费开放是因为他们认为这将对信息安全社区有价值,强化社区理解与Web技术有关的安全问题。
RatProxy能够分析诸如跨站攻击、防御伪装的跨站请求,以及检测到缓存问题或是潜在的信息泄露问题等。
谷歌在文件中表示,RatProxy为半自动、多数是被动的网络应用程序安全检测工具,它同时弥补了传统主动查找及手动检测的缺点,而且特别针对潜在的问题及安全相关设计的精确检测与自动批注进行最佳化。
至于比起传统安全检测工具,谷歌亦列出几项RatProxy的优势,包括在预设的操作模式中不会引起仿真攻击所带来的庞大流量,可避免正在使用的系统的瓦解,而且它提供直观的操作,并降低时间及带宽的使用,并能找出产品的问题与潜在的漏洞等。
现在开发人员都能从谷歌网站下载RatProxy,它支持Linux、FreeBSD、MacOS X及Windows等操作系统。
TAG: 工具 谷歌 开源 源代码 RatProxy
