Сравнения языков программирования с позиции безопасности написанного на них кода

Вадим Голованов 06.12.2015 0

Компания Veracode опубликовала результаты исследования зависимости числа уязвимостей в коде от используемого языка программирования. В рамках исследования был выполнен статический анализ более 200 тысяч приложений, который показал, что наибольшее число связанных с безопасностью ошибок присутствует в коде проектов на ASP, ColdFusion и PHP. Учитывая то, что на PHP написаны платформы Drupal, Joomla и WordPress, доля которых среди систем управления контентом составляет около 70% и на которых работает четверть крупнейших сайтов в Сети, язык PHP указан как приносящий наибольшие проблемы с безопасностью.

В соответствии с опубликованным отчётом, каждые четыре из пяти приложений на PHP, ASP и ColdFusion не проходят как минимум один из десяти тестов OWASP на безопасность. В частности, при тестировании Veracode в 86% всех приложений на PHP выявлена как минимум одна XSS-уязвимость (Cross-Site Scripting), в 56% — проблемы подстановки SQL-запросов, 61% — возможность подстановки кода, 50% — утечки информации, 73% — проблемы с шифрованием, 58% — проблемы с аутентификацией, 67% — выход за пределы дозволенных директорий. В более современных языках, таких как .NET и Java, данные показатели почти в два раза ниже. Что касается тестов OWASP, то все десять тестов прошли только 19% приложений на PHP (для сравнения все тесты OWASP прошли 60% программ на C/C++).

Рейтинг платформ по числу критических уязвимостей в коде выглядит следующим образом:

  • Classic ASP — 1686 проблем на мегабайт кода (из них критических 1112)
  • ColdFusion — 262 проблем на мегабайт кода (из них критических 227)
  • PHP — 184 проблем на мегабайт кода (из них критических 47)
  • Java — 51 проблем на мегабайт кода(из них критических 5.2)
  • .NET — 32 проблем на мегабайт кода (из них критических 9.7)
  • C++ — 26 проблем на мегабайт кода (из них критических 8.8)
  • iOS — 23 проблем на мегабайт кода (из них критических 0.9)
  • Android — 11 проблем на мегабайт кода (из них критических 0.4)
  • JavaScript — 8 проблем на мегабайт кода (из них критических 0.09)

0_1449262313

Больше историй

Информационная безопасность в условиях пандемии COVID-19

Вадим Пучкин 15.04.2020 0
ГК «НПО «Эшелон» вошла в ТОП-50 крупнейших поставщиков ИТ-решений для госсектора в 2019 году!

ГК «НПО «Эшелон» вошла в ТОП-50 крупнейших поставщиков ИТ-решений для госсектора в 2019 году!

echelon 13.12.2019 0
X Юбилейная международная научно-техническая конференция «Безопасные информационные технологии» (БИТ 2019)

X Юбилейная международная научно-техническая конференция «Безопасные информационные технологии» (БИТ 2019)

echelon 06.12.2019 0

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Возможно, вы пропустили

Может ли ИИ выйти за пределы человеческих возможностей? Отвечают разрушители мифов

Максим Белоногий 19.03.2024

Работа НПО «Эшелон» отмечена Государственной Думой

Максим Белоногий 28.02.2024 0

Топ-10 стран, атаковавших ресурсы «Эшелон»

Максим Белоногий 29.12.2023

Кибервойна: все только защищаются, а кто же нападает?

Максим Белоногий 04.12.2023

Сканер-ВС 6: сканирование на уязвимости никогда не было таким быстрым

Алеся Мелехина 24.11.2023 0