Google釋出內部安全偵測工具RatProxy原始碼

Google在本周宣布釋出內部所使用的被動式網路應用程式安全評估工具RatProxy的原始碼。

RatProxy是Google資訊安全技術團隊所研發的程式安全偵測工具，一向為Google內部所使用。Google資訊安全工程師Michal Zalewski表示，Google決定將該工具免費開放是因為他們認為這將對資訊安全社群有價值，強化社群理解與Web技術有關的安全問題。

RatProxy能夠分析諸如跨站威脅、防禦偽裝的跨站請求，以及偵測到快取問題或是潛在的資訊洩露問題等。

Google在文件中表示，RatProxy為一半自動、多數是被動的網路應用程式安全偵測工具，它同時補足了傳統主動爬尋及手動偵測的缺點，而且特別針對潛在的問題及安全相關設計的精確偵測與自動註解進行最佳化。

至於比起傳統安全偵測工具，Google亦列出幾項RatProxy的優勢，包括在預設的操作模式中不會引起模擬攻擊所帶來的龐大流量，可避免正在使用的系統的瓦解，而且它提供直覺式的操作，並降低時間及頻寬的使用，並能找出產品的問題與潛在的漏洞等。

現在開發人員皆可自Google網站下載RatProxy，它支援Linux、FreeBSD、MacOS X及Windows等作業環境。（編譯/陳曉莉）