其他
用哪种语言写的应用漏洞最严重?(文末送书)
选自ZDNet
编辑:Panda
静态代码分析安全公司 Veracode 近日发布了一份应用程序分析报告,结果发现比起 JavaScript 和 Python 等语言,C++ 和 PHP 的安全漏洞要严重得多。
如果你是一位靠 .NET、C++、Java、JavaScript、PHP 或 Python 吃饭的开发者,那要注意了:一项新研究揭示了这些编程语言的主要安全漏洞。
静态代码分析安全公司 Veracode 近期发布了这些语言的漏洞类型数据,这是该公司扫描了 13 万应用程序的安全问题后得到的报告。
该公司调查了用 .NET、C++、Java、JavaScript、PHP 或 Python 编写的应用程序的漏洞趋势。这些数据整合在 Veracode 的《软件安全状态第 11 卷(State of Software Security Volume 11)》报告中:https://www.veracode.com/sites/default/files/pdf/resources/ipapers/security-flaw-heatmap/index.html。
对于最常用的前端开发语言 JavaScript,Veracode 发现 31.5% 的应用至少有一个跨站脚本(XSS)漏洞,而用 PHP 写的应用中有 74.6% 至少有一个 XSS 漏洞。此外,71% 的 PHP 应用存在加密问题。
对于用 .NET 写的应用,最主要的问题是信息泄露——62.8% 的 .NET 应用存在该问题。C++ 应用最大的问题是错误处理,占到了 66.5%。
至于 Java 应用,首要问题是 CRLF 注入(回车或换行注入),占受调查应用的 64.4%。Python 应用中最严重的安全问题与加密相关,出现在 35% 的受调查应用中。
每种语言的漏洞严重性也存在很大差别。Veracode 发现用 C++ 写的应用中有 59% 存在非常严重的漏洞;而对于 PHP,这一数字为 52%。但是,用 JavaScript 写的应用仅有 9.6% 有非常严重的漏洞,Java 应用的数据为 24%。
Veracode 首席研究官 Chris Eng 解释了不同语言漏洞趋势不同的原因,以及如何修复它们以避免严重损失。
「从整体数据上看,我们这个行业过去十年来没能消除任何一种漏洞类别。」Eng 说,「没有任何问题完全消失。很多事情都在波动,但看看平均情况,你会发现相比于其它指标,这些数据更能反映语言选择和语言流行程度的变化。我们看到 C++ 常见的缓存溢出问题有下降的趋势,但这并不是因为开发者处理这些问题的能力更强了,而是因为使用 C++ 进行开发的人变少了。」
另一方面,影响 JavaScript 和 Python 的问题则有所增长,原因是这两种语言现在非常流行。在企业层面上,Java 和 .NET 依然备受欢迎。
PHP 依然是网页应用开发最常用的脚本语言之一,但 Eng 指出 PHP 漏洞数量更高的原因是该语言提供了大量不安全的原语以及大量错误开发的方式。
「有些语言会尽力避免开发者考虑不周而把事情搞砸,.NET 就是其中最早的语言之一。」Eng 解释说,「相比于使用 PHP,使用 .NET 时,你会发现大量 API 都有更安全的默认设置,使得出现跨站脚本错误或 SQL 注入错误会困难得多。在 PHP 中,这些错误几乎是默认的——除非你刚好在使用一种能为你提供更多保护的更现代框架。使用 PHP 出错的情况实在太多了。」
Veracode 在其分析的 JavaScript 应用中发现的漏洞远远更少,但即使 JavaScript 有更安全的默认设置,庞大的 npm 生态系统中的 JavaScript 和 node.js 开源软件库是潜在的薄弱环节。
「即使你能修复自己写的代码中的所有漏洞,你使用的第三方软件库仍会带来诸多变数。」Eng 说,「打补丁实际上并不如你期望的那么好。现在的趋势是开发者在需要时才会去下载这些软件库的最新版本,然后他们就再也不更新了,除非这个软件库又增加了什么新功能。」
工程开发和产品团队应该如何降低为关键应用程序打补丁的麻烦和成本?Eng 的建议是保持更新并且清晰地跟踪构建应用的技术和安全成本随时间的变化情况。在某个时间,该应用将需要得到修复或打补丁,其中包括语言更新和关键软件库的补丁。
Eng 说:「如果我现在在使用 4.5 版,而 4.6 版已经出来了,我可以使用该补丁,同时几乎不会产生功能方面的影响。开源软件库不会在小版本更新中对软件库进行重大修改。但如果你现在使用的是 2.0 版,那么你就必须得更新到 4.6 版,这个过程会很痛苦」。
对于使用庞大 npm 生态系统的 JavaScript 来说,更新软件库这个问题可能会更严重一点,但 Java 和 Python 都有各自的大型生态系统:Maven 和 PyPI。
Eng 表示 JavaScript 应用平均有大约 400 个依赖关系。如果来看第 90 百分位数的 JavaScript 应用程序,它们的依赖关系数量可达 1000 或 2000 个。
应用安全公司 Snyk 曾解释说影响 JavaScript、Ruby、Java、PHP 和 Python 的大多数安全漏洞都源自项目中加载的主要组件之间的间接依赖关系。
还有一点,某些 JavaScript 软件库非常受欢迎,多达 80%-90% 的 JavaScript 应用在使用它们。
Eng 说:「只要这些软件包中某一个包里有一个漏洞,你就继承了该风险。而且这不只是安全风险。」
他指的是 JavaScript 软件库 left-pad 曾出现过的情况:2016 年的一场争吵之后,一个开发者将该软件库移出了 npm。
「它从 GitHub 上消失了,然后突然之间,三分之二的互联网崩溃了,因为它们全都依赖这个几行代码的软件库来确定一个数是否在左侧填充了零。」
原文标题:用哪种语言写的应用漏洞最严重?六大主流语言代码漏洞分析报告出炉原文链接:https://www.zdnet.com/article/programming-language-security-these-are-the-worst-bugs-for-each-top-language/
推荐理由:本书是狗熊会政委团队力作,特别适合数据科学领域的Python小白快速上手。本书依托数据科学精品案例并结合大量场景和行业应用,让Python不再枯燥,更加有用、有趣。
推荐理由:涉及机器学习领域中常见的经典模型,以及新兴的深度学习中的卷积神经网络、循环神经网络、生成对抗网络等模型。
推荐理由:多线程处理一直是金融业务系统开发的核心内容。作者凭借自身多年银行金融系统后台开发经验,在传统独立自研金融类业务的基础上,结合互联网大数据技术,通过多个项目的系统架构实践,总结编写出本书。
活动规则:
我们将从精选留言中随机抽取 8名 小伙伴赠书,中奖者可在上方书单中任选一本图书,我们包邮赠送。书籍有限,中奖后先选先得。
《Java高并发编程指南》 *2
《python数据科学实践》 *2
《机器学习与深度学习算法基础》 *2
《Java多线程与大数据处理实战》 *2
小锦鲤玩法:
本次小锦鲤我们将从精选留言中随机抽取2~5名 小锦鲤,赠送红包
6.6元 ~
开奖后圈儿会给中奖者发送留言,请大家凭留言截图添加圈儿微信号:jb_quaner领取
留言要求:
内容与本文核心信息相关
留想要的书籍名称
每人仅限精选一条留言(用心留言更容易上墙)
为了大家都有机会中奖,每个小伙伴每个星期只能中一次奖哦~
截止时间: 2021 年 1 月 2 日 16:00 整
每天 17:30 不见不散!
点此查看详情
识别关注我们
了解更多精彩内容
点分享
点点赞
点在看