最近開源安全公司W(wǎng)hiteSource報(bào)告了編程語言的安全性,提出了一個(gè)新問題——“哪種編程語言最安全��?”
編程語言之爭一直是開發(fā)者社區(qū)的一個(gè)熱門問題�����,但討論的過程往往伴隨著雙方的憤怒和和諧的破壞�����。許多開發(fā)人員喜歡證明他們使用的編程語言占主導(dǎo)地位���,這通常是安全的。
近日WhiteSource年度報(bào)告了七種流行編程語言的安全性����。報(bào)告總結(jié)了國家漏洞數(shù)據(jù)庫等多種來源的開源漏洞信息,如國家漏洞數(shù)據(jù)庫(NVD),安全公告�,GitHub問題追蹤器(IssueTracker)以及流行開源項(xiàng)目問題跟蹤器。
WhiteSource根據(jù)開源社區(qū)過去幾年使用的一些流行語言���,確認(rèn)了七種流行的編程語言:C��,Java���,JavaScript,Python��,Ruby�����,PHP和C++����。
基于這些編程語言,WhiteSource搜索數(shù)據(jù)庫�����,查看過去十年每種語言中已知的開源安全漏洞的數(shù)量����,隨著時(shí)間的推移����,這些安全漏洞的變化�,以及最常見的語言CWE(CommonWeaknessEnumeration,一般缺陷列表)�����。
報(bào)告顯示�,過去10年不同語言的開源漏洞總數(shù)顯然是C語言,占近一半��。
但這并不意味著C語言的安全性遠(yuǎn)低于其他流行語言�����。這么高的比例有幾個(gè)因素可以解釋:
一是C語言在調(diào)查語言中使用時(shí)間最長�����;
二是C語言一般編寫大量代碼��;
三是OpenSSL和LinuxC語言是核心等基礎(chǔ)設(shè)施背后的主要語言之一���。
這些因素的結(jié)合��,如時(shí)間�、體積和中心性�����,可以解釋為什么C語言有這么多已知的開源安全漏洞��。
報(bào)告還顯示���,隨著時(shí)間的推移�,不同編程語言的開源安全漏洞數(shù)量發(fā)生了變化�。
在過去的十年里,他們有自己的高點(diǎn)和低點(diǎn)��,但所有的語言都有一個(gè)突出的趨勢�,即在過去的兩年里,所有已知的語言安全漏洞的數(shù)量都顯著增加����。這可以看作是安全漏洞意識(shí)的提高和開源的普及。隨著開源安全研究投資資源的增加�����,人們發(fā)現(xiàn)的安全問題數(shù)量也會(huì)增加。
這些漏洞有多嚴(yán)重����?調(diào)查人員研究了高嚴(yán)重性開源安全漏洞(CVSSv當(dāng)?shù)梅指哂?分時(shí),發(fā)現(xiàn)除了7分�����,JavaScript和PHP����,報(bào)告中涉及的嚴(yán)重語言漏洞大多處于下降趨勢。
這可能是安全研究人員使用自動(dòng)化工具的結(jié)果���。雖然在這些工具的幫助下�����,過去幾年大多數(shù)語言的中等漏洞一直在增加,但這些工具通常找不到復(fù)雜和嚴(yán)重的安全問題��。
調(diào)查人員還研究了每種常見語言CWE��。其中,跨站腳本攻擊(XSS��,也被稱為CWE-與輸入驗(yàn)證(驗(yàn)證(又稱輸入驗(yàn)證(也稱輸入驗(yàn)證(也稱輸入驗(yàn)證(也稱輸入驗(yàn)證)CWE-20)占據(jù)了最常見的位置�����。另外比較突出的�。CWE有信息泄漏(CWE-200),路徑遍歷(CWE-22)權(quán)限和訪問控制(CWE-264)��,不正當(dāng)訪問控制(CWE-284)等���。
“我的編程語言比你更安全”類似的話題可以是消磨時(shí)間的有趣方式��。關(guān)于哪種編程語言最安全的討論往往會(huì)有一些有趣的觀點(diǎn)�,但找到最終的答案可能無法幫助你創(chuàng)建創(chuàng)新和安全的軟件���。
如今���,大多數(shù)軟件開發(fā)都依賴于各種編程語言,而不是執(zhí)著于某種編程語言���。掌握已知的開源漏洞����,了解團(tuán)隊(duì)使用的編程語言的優(yōu)缺點(diǎn),是確保軟件項(xiàng)目從一開始就安全的好方法����。
最安全的編程語言沒有最終的贏家。WhiteSource研究的最后一個(gè)結(jié)論是�,編程語言的安全性與語言本身無關(guān),而是取決于用戶的使用方式����。開發(fā)團(tuán)隊(duì)采用了適當(dāng)?shù)墓芾矸椒▉頊p少整SDLC(系統(tǒng)生存周期)漏洞,是保證工程安全的好選擇����。
