Uno scanner di vulnerabilità Java promosso da Red Hat

javalogo

Grant Murphy ha scritto oggi un post sul blog security di Red Hat presentando un software in grado di identificare le vulnerabilità presenti nelle applicazioni e nei pacchetti Java. Il software fa parte del progetto Red Hat Victims, che punta a ridurre il rischio di intrusione nei sistemi prevenendo il rilascio di applicazioni con bug di sicurezza. Lo scanner si chiama “embedded vulnerability detection command line tool”, è scritto in Java e potete trovarlo su github qui: è ancora nella versione alpha e richiede pochi passaggi per poterlo compilare e usare agilmente nella shell. Il programma permette di analizzare file singoli o cartelle contenenti pacchetti Java (.jar) e altri file XML per il funzionamento delle applicazioni, identificando la presenza di vulnerabilità conosciute.

Il linguaggio Java è tanto utilizzato per la sua interoperabilità tra piattaforme quanto malvisto per l’abbondanza di bug e vulnerabilità presenti nella virtual machine che lo gestisce: avere a disposizione uno strumento che rilevi potenziali falle nel codice può essere un grande vantaggio per semplificare e velocizzare il processo di rilascio. Lo scanner si basa sul database di vulnerabilità CVE, uno standard affermato per la classificazione delle stesse, e ha 3 funzionalità:

  • update delle definizioni, collegandosi all’infrastruttura del progetto Victims
  • verifica della presenza di aggiornamenti delle vulnerabilità
  • scanning di un singolo file o di una cartella (ricorsivamente)

Per installare il tool e utilizzarlo è utile seguire il video tutorial.

 

Tags: , , , ,