Python è ora una delle tre principali linguaggio di programmazione, e Julia è in aumento
Il MIT-creato Julia linguaggio di programmazione continua la sua ascesa, sviluppatore di popolarità.
Da cima a fondo, la tecnologia è pieno di errori di sicurezza. Al livello più basso, ci sono errori hardware come Intel Crollo e Spettro di bug. Solo al di sopra di quelli, abbiamo il linguaggio di programmazione buchi di sicurezza e ragazzi, abbiamo un sacco di quelli!
WhiteSource, un open-source società di sicurezza, ha fatto di recente uno studio di open source vulnerabilità di sicurezza in sette lingue diffuse negli ultimi dieci anni. Per trovare i bug, la società ha utilizzato la lingua di sicurezza del database. Questo contiene dati su open-source vulnerabilità da più fonti come il National Vulnerability Database (NVD), avvisi di sicurezza, GitHub issue tracker, e i progetti open-source issue tracker.
Ecco quello che l’azienda ha trovato: Questi linguaggi C, Java, JavaScript, Python, Ruby, PHP, C++. Non ci sono sorprese.
Non non c’è nessuna sorpresa per la lingua aveva più bug di sicurezza. Che C, con un ampio margine. Quasi il 50% di tutte le vulnerabilità segnalate erano in C.
Come Kees “Caso” Cucinare, Google kernel Linux security engineer, ha recentemente dichiarato: “C è una fantasia assembler. È quasi in codice macchina.” Inoltre, “C viene fornito con alcune preoccupanti bagagli, undefined behavior, e altre carenze che portano a problemi di sicurezza e infrastrutture vulnerabili.”
Ma, WhiteSource sostenuto, “Questo non è per dire che C è meno sicuro di altre lingue. L’elevato numero di open source vulnerabilità in C può essere spiegato da diversi fattori. Per cominciare, C è stato in uso per più di una qualsiasi delle altre lingue che abbiamo studiato e ha il più alto volume di codice scritto. È anche una delle lingue dietro di grandi infrastrutture come OpenSSL e il kernel di Linux. Questa combinazione vincente di volume e la centralità spiega l’alto numero di open-source vulnerabilità C.”
Hanno un punto. Ma, avendo programmato e combattuto con C per decenni, è davvero troppo facile, per rendere terribile sicurezza strafalcioni in C. Per esempio, C contiene una grande quantità di un comportamento indefinito, che lascia tutti i tipi di brutto possibilità.
C++, tuttavia, ha “l’onore” di avere la più alta vulnerabilità di gravità negli ultimi cinque anni. Errori di Buffer, che hanno a lungo afflitto C, sono anche ora scoperto spesso in C++.
I numeri non raccontano tutta la storia quando si tratta di che lingua è il meno, o più, sicuro.
(Immagine: WhiteSource)
×
language-security-bugs.jpg
Detto questo, JavaScript, forse la lingua più conosciuta, è anche l’unico che ha visto un continuo aumento del numero di vulnerabilità negli ultimi 10 anni.”
Prima di fare troppo divertente di JavaScript, di questi risultati, WhiteSource punti, sono fuorvianti. La maggior parte di JavaScript Debolezza Comune di Enumerazione (CWE)), s Path Traversal e crypto buchi di sicurezza da JavaScript pacchetti, che sono scarsamente utilizzati, mantenuti o supportati.
Così, perché sono essi, e altri problemi di lingua — mostrando? Nuovi programmi automatici, come il Codice Sorgente di Strumenti di Analisi, si macchia di vulnerabilità, che altrimenti sarebbe stato trascurato.
Quella lingua, che ha mostrato bene su falle di sicurezza, è-rullo di tamburi — Python. Sì, il buon vecchio — spesso preso in giro — Python.
Quasi tutte le lingue condividere alcune CWEs. Due CWEs regnava sovrana e tra i tre più comuni, il 70 per cento di lingue: Cross-Site Scripting (XSS), aka CWE-79 e la Validazione dell’Input, altrimenti noto come CWE-20.
Altre CWEs che mostra un sacco sono: Perdita di Informazioni/ Pubblicità (CWE-200), il Percorso di Attraversamento (CWE-22), e CWE-264 Permessi, Privilegi e di Controllo di Accesso. L’ultimo è in fase di sfollati, di recente, con più specifico, parente stretto — Improprio di Controllo di Accesso (CWE-284).
Ma C è davvero il peggio e il Python è il migliore? WhiteSource pensa che è troppo semplice conclusione: “Mentre il gioco di ‘il mio linguaggio di programmazione è più sicuro che il tuo’ è sicuramente un modo divertente per passare il tempo … per trovare la risposta probabilmente non aiutarvi a creare la più innovativi o di un software sicuro là fuori.”
No, invece si dovrebbe spendere il vostro tempo a “rimanere in cima noto open-source, di vulnerabilità e di comprendere i punti di forza e debolezza nei linguaggi di programmazione voi e il vostro team sono in uso.”
Alla fine, la sicurezza non è sulle lingue, ma come li si usa.
Storie Correlate:
Microsoft: il 70 per cento di tutti i bug di sicurezza sono la memoria di sicurezza issuesGoogle open-sources progetto per il sandboxing delle librerie C/C++ su LinuxGitHub: la Nostra dipendenza scansione ha trovato quattro milioni di falle di sicurezza nel pubblico repos
Argomenti Correlati:
Open Source
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati