Yahoo啟動了一個新的開源項目,該項目將允許系統管理員執行URL掃描,以便找到常見的安全漏洞和惡意Web內容。
它被稱為“ Gryffin項目”,最初將在Beta上啟動,並將遵循BSD風格的許可,這是Yahoo喜歡在啟動開源項目時使用的許可類型。
根據Yahoo的說法,Gryffin是一個大規模的網絡安全掃描平台設計解決兩個具體問題,即覆蓋範圍和規模。
據說覆蓋範圍由兩個維度組成。第一個爬網是指具有盡可能多的範圍的足跡。第二維,掃描是指具有基於應用的漏洞集測試每個應用程序部分的能力。
Yahoo說,雖然Gryffin作為獨立軟件包發布,但實際上,它是在出版商 - 累您的模型下為規模構建的。由於該平台具有發布者或訂戶的組件或兩者的組合,因此可以簡單地通過向其添加新節點來水平擴展。
爬網的其他功能包括一個重複數據刪除引擎,旨在通過比較旨在處理基於JavaScript的應用程序中的DOM渲染的新頁面和phantomjs,避免兩次爬行同一頁。
Gryffin的要求包括:GO,NSQ分佈式消息系統,Phantomjs V2,用於掃描Web漏洞的Arachni和XSS,用於掃描SQL注入的SQLMAP,Kibana和Kibana和彈性搜索儀表板。
“重新發明不必要的方向盤是不明智的。”解釋雅虎。 “ Gryffin在Yahoo的生產規模上使用開源和自定義模糊。其中一些自定義模糊劑將來可能是開源的,並且可能不是Gryffin存儲庫的一部分。”
除了格蘭芬(Gryffin)外,雅虎(Yahoo)過去已經發起了許多開源項目,這些項目起初被視為奇怪,但最終被許多行業參與者採用。其中一些項目被確定為Hadoop,Pure和Yui!
雅虎還想使用該平台來實現彈性基礎架構和更廣泛的覆蓋範圍。
“更好的覆蓋範圍轉化為較少的假否定性,”說來自Yahoo的團隊。 “固有的可伸縮性可以轉化為掃描的能力,並支持大型彈性應用基礎架構。簡而言之,今天通過直接的水平縮放來掃描1000個應用程序的能力。
