Google heeft een scannertool vrijgegeven waarmee diverse veiligheidsaspecten van webapplicaties kunnen worden geanalyseerd. Skipfish is opensource en zou volautomatisch en op hoge snelheid webapps nalopen.
Skipfish is geschreven in C en doorloopt een site op diverse veiligheidsaspecten, waaronder gesimuleerde aanvallen als dictionary attacks en cross-site scripting, zo stellen de makers. De tool zou op lokaal niveau meer dan 7000 requests per seconde op zijn doelwit kunnen afvuren en via een internetverbinding meer dan 500 requests behalen. De ontwikkelaars beloven dat het cpu- en geheugengebruik daarbij binnen de perken blijft. De eindresultaten worden in een interactieve sitemap gepresenteerd.
Volgens Google zijn tools als Skipfish nodig om de veiligheid van webapplicaties te beproeven, maar het geeft toe dat de scanner niet voor alle doeleinden geschikt is. Zo zou het niet alle voorschriften volgen die in de Web Application Security Scanner Evaluation Criteria zijn opgesomd.
Het vrijgeven van zelfontwikkelde tools is een logische stap van Google; dat eerder in hetzelfde genre ratproxy vrijgaf, een tool die passief websites op diverse veiligheidsproblemen controleert. Verder maakte de zoekgigant onder andere de code van zijn experimentele programmeertaal 'Go' opensource en gaf het enkele Javascript-tools vrij.