Grant Murphy ha scritto oggi un post sul blog security di Red Hat presentando un software in grado di identificare le vulnerabilità presenti nelle applicazioni e nei pacchetti Java. Il software fa parte del progetto Red Hat Victims, che punta a ridurre il rischio di intrusione nei sistemi prevenendo il rilascio di applicazioni con bug di sicurezza. Lo scanner si chiama “embedded vulnerability detection command line tool”, è scritto in Java e potete trovarlo su github qui: è ancora nella versione alpha e richiede pochi passaggi per poterlo compilare e usare agilmente nella shell. Il programma permette di analizzare file singoli o cartelle contenenti pacchetti Java (.jar) e altri file XML per il funzionamento delle applicazioni, identificando la presenza di vulnerabilità conosciute.

Il linguaggio Java è tanto utilizzato per la sua interoperabilità tra piattaforme quanto malvisto per l’abbondanza di bug e vulnerabilità presenti nella virtual machine che lo gestisce: avere a disposizione uno strumento che rilevi potenziali falle nel codice può essere un grande vantaggio per semplificare e velocizzare il processo di rilascio. Lo scanner si basa sul database di vulnerabilità CVE, uno standard affermato per la classificazione delle stesse, e ha 3 funzionalità:

• update delle definizioni, collegandosi all’infrastruttura del progetto Victims
• verifica della presenza di aggiornamenti delle vulnerabilità
• scanning di un singolo file o di una cartella (ricorsivamente)

Per installare il tool e utilizzarlo è utile seguire il video tutorial.

Francesco Gualazzi