Google がリリースした Firing Range について

Google

Google が Firing Range という Webアプリケーションを公開しました。

これは(Webアプリケーションに対して実行するタイプの)脆弱性スキャナーツールの性能を評価するために作られたWebアプリケーションです。なんだか分かりづらいですね。同じようなものとして、wavsep というWebアプリケーションがあります。このWebアプリケーションをターゲットにして脆弱性スキャナーを実行し、どれだけの数の脆弱性を検出できるか計測することでスキャナーの性能を評価することができます。The Prices vs. Features of Web Application Vulnerability Scanners というサイトでは、このツールを使っていろいろな脆弱性スキャナーを比較しています。

現在 Google は Inquisition と名付けられた脆弱性スキャナーを開発中で、今回公開した Firing Range を使って性能の評価を行っているそうです。そのうち Inquisition も公開されるのでしょうか。

wavsep と比べると、Firing Range は SPA(Single Page Application)のようなモダンなWebアプリケーションのXSS検知に力を入れているようです。wavsep に用意されているテストケースの内容を全て知っているわけではないので詳しいことは分かりませんが、Firing Range の目的からすると wavsep のテストケースはあまり役に立たなかったのかなと思いました。これらのツールが今後どう進化していくかは分かりませんが、現時点では目的が違うものなんだと捉えて使い分けるというのが妥当なところでしょうか(といってもこれらのツールを使う人というのは、ものすごく限られていますが)。

脆弱性スキャナーを提供している企業は、自社のツールが Firing Range のテストケースのうちいくつの脆弱性を検出できるか試すことになると思いますが、結果が知りたいですね。そのうち Firing Range を使った既存のスキャナーの性能比較結果を公表する人が現れるかもしれませんが、Google は既にやっているでしょうし、今後もし Inquisition を公開することになれば既存ツールとの性能比較結果も合わせて発表されてしまうかもしれません。

Firing Range に関する記事(Googleやメディア以外のもの)

最終更新日: 2014-11-26

Pocket

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です


*