Max Home IndustryТри четверти приложений имеют какие-либо недостатки безопасности, хотя недостатки с высоким уровнем безопасности обнаруживаются только в четверти. PHP — это язык программирования с наибольшим количеством недостатков, в то время как Python и JavaScript подвержены наименьшим нарушениям.
Эти данные получены от Veracode, которая недавно выпустила 11-е издание своего ежегодного отчета о состоянии безопасности программного обеспечения.
Veracode отслеживает распространенность ошибок в приложениях в течение десяти лет. Результат 2020 года основан на сканировании более 130 000 приложений. По крайней мере, один недостаток был обнаружен в 76% из них, а 66% имели критические недостатки, как это определено в OWASP Top 10, списке из 10 наиболее распространенных уязвимостей приложений, от Open Web Application Security Project.
Еще одним используемым показателем серьезности недостатков является SANS Top 25, список наиболее опасных программных ошибок Common Weakness Enumeration (CWE), и 59% приложений свидетельствуют о включенных в него недостатках.
Только 24% приложений имели недостатки «высокой степени серьезности», определенные Veracode на уровне 4 (высокий) — например, инъекция SQL и неограниченная загрузка файла с опасным типом — или уровень 5 (очень высокий), например внедрение команд ОС, Eval Внедрение, переполнение буфера на основе стека или неправильный расчет длины многобайтовой строки.
Наиболее частыми обнаруженными недостатками были утечка информации (66%), которая определяется как уровень 2 — низкий, затем внедрение CRLF (65%) и проблемы с криптографией (64%), оба на уровне 3 — средний, за которыми следует качество кода ( 60%) в основном от уровня 0 до уровня 3.
В этом году был проведен анализ типа уязвимости по языку, чтобы получить следующую тепловую карту:
PHP выделяется на этой тепловой карте как язык с наибольшим количеством ошибок, в частности проблем межсайтового скриптинга и криптографии, оба уровня 3 с точки зрения серьезности. C ++ и Java занимают второе место по распространенности, причем обработка ошибок является слабым местом первого, а внедрение CRLF — вторым. Затем за ними следует .NET, который больше всего страдает от утечки информации низкого уровня серьезности, но также, в меньшей степени, от внедрения SQL-кода высокой степени серьезности. Именно JavaScript и Python выделяются как самые крутые языки на этой тепловой карте.
Если вы хотите узнать больше не только об уязвимостях, но и о том, как их исправить, тепловая карта доступна в виде интерактивного ресурса под названием Beat The Heat, где вы можете щелкнуть, чтобы узнать больше о любой из уязвимостей. Вот результаты межсайтового скриптинга — недостаток, который почти универсален, когда речь идет о языках.
Это кажется действительно полезным ресурсом для понимания дефектов безопасности и улучшения методов безопасного кодирования.