loader
bg-category
ほとんどのセキュリティバグを生成するトッププログラミング言語

友達と共有します

著者の記事: Kenneth Douglas

短いバイト 何度も何度も、人々はスクリプト言語をソフトウェアの脆弱性の根本的な原因と呼び、最新のVeracodeの結果は同じことを証明しています。 MBあたりの欠陥密度と呼ばれる独自の測定基準を使用して、VeracodeはPHPがソフトウェア脆弱性の主な原因の1つであることを発見しました。

WordPressやDrupalなどのCMSプラットフォームで脆弱性が増大していることの根本的な原因を調査し始めると、根本的な原因はそれらのスクリプト言語であるPHPであることがわかります。そのため、ほとんどのソフトウェアバグを引き起こす言語を見つけるために、セキュリティ会社Veracodeは過去2年間で208,670のアプリケーションを分析し、その結果を発表しました。

この調査方法では、MBあたりの欠陥密度と呼ばれる固有の測定基準を使用します。これは、各MBのソースコードで見つかったセキュリティ問題の数を測定します。レポートは、PHPで書かれたアプリケーションの約86%が少なくともXSSの脆弱性を持ち、それらの56%が少なくとも1つのSQLインジェクションバグを持っていることを示唆しています。

以下は、ソフトウェアセキュリティのほとんどのバグを生成する上位10のプログラミング言語とプラットフォームのリストです。

  • クラシックASP - 1,686欠陥/ MB(1,112重大欠陥/ MB)
  • ColdFusion - 262欠陥/ MB(227重大欠陥/ MB)
  • PHP - 184個の欠陥/ MB(47個の致命的な欠陥/ MB)
  • Java - 51個の欠陥/ MB(5.2個の重大な欠陥/ MB)
  • .NET - 32個の欠陥/ MB(9.7個の重大な欠陥/ MB)
  • C ++ - 26個の欠陥/ MB(8.8個の致命的な欠陥/ MB)
  • iOS - 23本の欠陥/ MB(0.9重大​​な欠陥/ MB)
  • Android - 11個の欠陥/ MB(0.4個の重大な欠陥/ MB)
  • JavaScript - 8個の欠陥/ MB(0.09個の重大な欠陥/ MB)

安全にコーディングすることを学ぶ

PHPはトップ3の中で最も人気のある言語であり、実際のリーダーです。 SQLインジェクションをPHPの問題の結果であると呼ぶのは、Veracodeの創設者でCTOのChris Wysopalは、次のように述べています。「私が違反を見つけたとき、頭に浮かぶのはPHPサイトだったことだ」 」

これまで何度も、人々はスクリプト言語をソフトウェアの脆弱性の根本的な原因と呼び、Veracodeの結果も同じことを証明しています。

「特に、C / C ++やObjective C(iOS)のような真にコンパイルされたアプリケーション言語のアプリケーションは、Javaや.NETのような汎用バイトコード言語よりもOWASPのパス率が高いのに対して、Classic ASP、ColdFusion、PHPなどのスクリプト言語はVeracodeチームは彼らの報告書で次のように述べています。

詳しくは、VercodeのState of Software Security Reportによる完全なレポートをご覧ください。

下のコメントにあなたの見解を追加してください。

友達と共有します

あなたのコメント