米Googleは11月18日、Webアプリケーション向けのセキュリティスキャンツール「Firing Range」をオープンソースで公開した。さまざまなXSS攻撃やWeb脆弱性を大規模にテストでき、社内でも継続的テストなどに用いているという。

　Firing Rangeは、社内で開発したWebアプリケーションのセキュリティスキャンツール「Inquisition」をオープンソースプロジェクトにしたもの。ライセンスはApache License 2。

　Google App Engine上に構築したJavaアプリケーションで、Chrome、Google Cloud PlatformなどのGoogleが持つ技術で構築されている。XSSの解析技術「XSS Peeker」など、一部ミラノ工科大学の研究者の支援を受けた。低い誤検知率、使い勝手の良さなどを特徴とする。

　ほかのXSSスキャナなどの脆弱性テストとの違いは、テストする人間に向けた現実的なテストベッドの構築にフォーカスするのではなく、自動化と生産性に焦点を置いた点。可能性のあるすべての攻撃シナリオをエミュレートすることはなく、脆弱性情報からのバグパターンを基に攻撃の文脈のエミュレーションを行うという。

　Firing Range 0.42はプロジェクトのWebサイトより入手できる。

Firing Range
https://public-firing-range.appspot.com/