2014/11/18に、Googleがセキュリティスキャンのテスト用のWebアプリケーション Firing Range を公開したようです。
http://googleonlinesecurity.blogspot.jp/2014/11/ready-aim-fire-open-source-tool-to-test.html
Googleは内部で自動セキュリティテストツール(コードネーム Inquisition)を作っていて、開発サイクルの中でそれを実行してセキュリティテストを自動化しているとのこと。
その内部用のセキュリティスキャンツールの評価のために、XSSを中心とした脆弱性のパターンを多く含むセキュリティテスト用Webアプリケーションを作ってオープンソースとして公開したようです。
VAddyと同じように、Googleも内部では自動セキュリティテストの仕組みを備えてて、開発サイクルの中でそれを定期的に回しているようです。
そのためには、人が検査するツールではなく、いかに自動的に問題なく回すかというのがポイントで、googleもそれにチャレンジしているそうです。
2013年の動画の質疑応答の中で、既存の人が実行するセキュリティ検査ツールを100%置き換え可能かとの質問に対し、理想はそれだが現在チャレンジ中で、今はある程度のテストを実行できていて攻撃者に対してハードルを上げることには成功しているとのこと。
http://www.youtube.com/watch?v=rd5TZKRg-lc
VAddyも同じような目標です。いかに人を介在させずに自動的にセキュリティテストを回せるか、そのためには既存のスキャンツールではなくCI連携可能な独自セキュリティエンジンを開発して進化して行くという道を選びました。
VAddyはCIと連携し継続的なセキュリティテストを実現するサービスです。無料プランでも実行回数無制限ですので是非お試しください。
http://vaddy.net
