Cómo usar Cloud Security Scanner con App Engine

Antes de realizar un análisis

Antes de realizar un análisis, revisa cuidadosamente tu aplicación para detectar cualquier característica que pueda afectar los datos, usuarios o sistemas más allá del alcance deseado de tu análisis.

Cloud Security Scanner debe usarse con precaución, ya que este llena los campos, presiona los botones, hace clic en los vínculos, etc. Cloud Security Scanner podría potencialmente activar funciones que cambien el estado de tus datos o sistema, provocando resultados no deseados. Por ejemplo:

  • En una aplicación de blog que permite comentarios públicos, Cloud Security Scanner podría publicar strings de prueba como comentarios en todos los artículos de tu blog.
  • En una página de registro de correo electrónico, Cloud Security Scanner podría generar un gran número de correos electrónicos de prueba.

Para obtener sugerencias sobre cómo minimizar el riesgo, consulta Cómo prevenir consecuencias no deseadas.

Cómo crear un análisis

  1. Si no has creado una cuenta de prueba, hazlo ahora y luego inicia sesión en la cuenta de prueba. La cuenta de prueba debe ser del propietario o desarrollador de la instancia de App Engine que se va a analizar.

  2. Ve a Google Cloud Platform Console

  3. En la lista desplegable del proyecto, selecciona un proyecto que ya tenga implementada una aplicación de App Engine.

  4. Ve a la página Análisis de seguridad de Google Cloud Platform Console.
    Abrir la página de Análisis de seguridad

  5. Selecciona App Engine > Análisis de seguridad.

  6. La primera vez que analices tu aplicación, se te pedirá que crees un análisis nuevo:

  7. Para mostrar el formulario de análisis nuevo, haz clic en Create scan (Crear análisis). Si ya existe un análisis para la aplicación, haz clic en New scan (Análisis nuevo). La siguiente imagen muestra todos los campos de formulario posibles:

  8. Utiliza la tabla a continuación como guía para agregar valores al formulario de análisis nuevo. La siguiente tabla proporciona información sobre algunos de los campos de análisis.

  9. Cuando hayas terminado de agregar valores, haz clic en Create (Crear). Ahora puedes ejecutar el análisis nuevo.

Campo Descripción
URL de inicio Por lo general, un sitio simple solo requiere una URL de inicio (como la página de inicio, principal o de destino del sitio), en donde Cloud Security Scanner pueda encontrar todas las demás páginas del sitio. Sin embargo, es posible que Cloud Security Scanner no encuentre todas las páginas si un sitio tiene una gran cantidad de páginas, islas de páginas no conectadas, o si la navegación requiere JavaScript complejo, como un menú de varios niveles basado en el desplazamiento del mouse. En tales casos, especifica URL de inicio adicionales para aumentar la cobertura del análisis.
URL excluidas Para reducir la complejidad, las exclusiones se definen utilizando un protolenguaje simplificado que utilice uno o más comodines *, en lugar de requerir una regex válida. Para obtener detalles y muestras de patrones válidos, consulta Cómo excluir URL de los análisis.
Cuentas de Google Puedes crear una cuenta de prueba en Gmail y usarla para analizar tu producto. Si eres cliente de Google Apps, puedes crear cuentas de prueba dentro de tu dominio, por ejemplo, test-account@yourdomain.com. En Cloud Security Scanner, estas cuentas funcionan como las cuentas de Gmail. La autenticación de dos factores no es compatible.

Ten en cuenta que Google aplica una política de nombre real en las cuentas de Google. Se podría bloquear tu cuenta de prueba si el nombre no parece real.
Cuentas que no son de Google Selecciona esta opción si creaste tu propio sistema de autenticación y no utilizas los servicios de la Cuenta de Google. Especifica la URL del formulario de inicio de sesión, el nombre de usuario y la contraseña. Estas credenciales se utilizan para iniciar sesión en tu aplicación y analizarla.

Ten en cuenta que la compatibilidad con los formularios de inicio de sesión aún está en desarrollo y es posible que no funcione de manera inmediata con tu sistema.
Programa Puedes configurar el análisis para que se ejecute diariamente, semanalmente, quincenalmente o cada cuatro semanas. Es mejor crear un análisis programado para garantizar que se prueben las versiones futuras de tu aplicación. Además, dado que ocasionalmente lanzamos nuevos analizadores que encuentran tipos de errores adicionales, ejecutar un análisis programado te brinda los beneficios de la cobertura adicional sin esfuerzo manual.

Cómo ejecutar un análisis

Para ejecutar un análisis:

  1. Accede a la cuenta de prueba utilizada para crear el análisis.

  2. Ve a la página Análisis de seguridad de Google Cloud Platform Console.

  3. En la lista desplegable del proyecto, selecciona un proyecto para el que hayas creado un análisis.

  4. Si creaste varios análisis para tu app, selecciona el análisis que deseas ejecutar. Si creaste un solo análisis para esta app, este se muestra y está listo para ejecutarse.

  5. Para comenzar a analizar tu app, haz clic en Ejecutar análisis.

El análisis se coloca en una cola y puede haber un retraso antes de que se ejecute. Puede tomar varios minutos o muchas horas para ejecutarse, según la carga del sistema y características como la complejidad del sitio, la cantidad de elementos procesables por página, la cantidad de vínculos y la cantidad de JavaScript (incluida la navegación).

Cómo editar y borrar análisis

  1. Accede a la cuenta de prueba utilizada para crear el análisis.

  2. Ve a la página Análisis de seguridad de Google Cloud Platform Console.

  3. En la lista desplegable del proyecto, selecciona un proyecto para el que hayas creado un análisis.

  4. Selecciona App Engine > Análisis de seguridad.

  5. Si creaste varios análisis para tu app, selecciona el análisis que deseas editar de la lista que se muestra. Si creaste un solo análisis para esta app, este se muestra y está listo para editarlo o eliminarlo.

  6. Haz clic en Edit (Editar) para editar el análisis o en Delete (Borrar) para eliminarlo de tu proyecto.

El estado y los resultados del análisis se muestran en la página Análisis de seguridad. También puedes encontrar información útil en la página de registros del proyecto.

¿Te sirvió esta página? Envíanos tu opinión:

Enviar comentarios sobre…

Documentación de Cloud Security Scanner