Компания Veracode, специализирующаяся на разработке средств для проведения аудита безопасности, опубликовала результаты сравнения языков программирования в контексте безопасности написанного на них кода. Отчёт подготовлен на основе результатов статического анализа более 130 тысяч приложений.
Проблемы с безопасностью были выявлены в 76% проверенных приложений, при этом у 24% приложений найденные проблемы были отнесены к категории опасных. В каждом третьем приложении большая часть проблем была вызвана использованием стороннего кода и внешних библиотек. В разрезе языков программирования опасные проблемы найдены в 59% проанализированных приложений на языке С++, 52.6% приложений на PHP, 25% - .NET, 23.8% - Java, 9.6% - Python и 8.6% - JavaScript.
При рассмотрении всех ошибок наиболее проблемным оказался код на PHP - чаще всего в приложениях встречается межсайтовый скриптинг (74.6%), проблемы с шифрованием (71.6%), проблемы с выходом за границы базового каталога (64.6%), утечки информации (63.3%), проблемы с инициализацией непроверенными данными (61.7%) и возможность подстановки кода (48%).
В проектах на С++ чаще всего встречаются проблемы, связанные с некорректной обработкой ошибок (66.5%) и работой с буферами (46.8%). В коде на Java лидируют проблемы с подстановкой символа перевода строки (64.4%) и проблемы с качеством кода (54.3%). В приложениях на Python на первое место вынесены проблемы с криптографией (35%) и межсайтовый скриптинг (22.2%). В JavaScript лидируют межсайтовый скриптинг (31.5%) и ошибки при управлении учётными записями (29.6%).
• Source: https://www.veracode.com/state-of-software-security-report
• Source: https://www.veracode.com/sites/default/files/pdf/resources/ipapers/security-flaw-heatmap/index.html
• Source: https://www.veracode.com/blog/secur...-security-v11-most-common-security-flaws-apps
• Source: https://info.veracode.com/state-of-...frequency-by-language-infosheet-resource.html
Проблемы с безопасностью были выявлены в 76% проверенных приложений, при этом у 24% приложений найденные проблемы были отнесены к категории опасных. В каждом третьем приложении большая часть проблем была вызвана использованием стороннего кода и внешних библиотек. В разрезе языков программирования опасные проблемы найдены в 59% проанализированных приложений на языке С++, 52.6% приложений на PHP, 25% - .NET, 23.8% - Java, 9.6% - Python и 8.6% - JavaScript.
При рассмотрении всех ошибок наиболее проблемным оказался код на PHP - чаще всего в приложениях встречается межсайтовый скриптинг (74.6%), проблемы с шифрованием (71.6%), проблемы с выходом за границы базового каталога (64.6%), утечки информации (63.3%), проблемы с инициализацией непроверенными данными (61.7%) и возможность подстановки кода (48%).
В проектах на С++ чаще всего встречаются проблемы, связанные с некорректной обработкой ошибок (66.5%) и работой с буферами (46.8%). В коде на Java лидируют проблемы с подстановкой символа перевода строки (64.4%) и проблемы с качеством кода (54.3%). В приложениях на Python на первое место вынесены проблемы с криптографией (35%) и межсайтовый скриптинг (22.2%). В JavaScript лидируют межсайтовый скриптинг (31.5%) и ошибки при управлении учётными записями (29.6%).
• Source: https://www.veracode.com/state-of-software-security-report
• Source: https://www.veracode.com/sites/default/files/pdf/resources/ipapers/security-flaw-heatmap/index.html
• Source: https://www.veracode.com/blog/secur...-security-v11-most-common-security-flaws-apps
• Source: https://info.veracode.com/state-of-...frequency-by-language-infosheet-resource.html