IT天空

 找回密码
 加入我们

手机号码,快捷登录

搜索

[新资讯] 有哪一种编程语言比其他的更安全吗?

[复制链接]
Lacy 发表于 2019-3-26 11:16:40 | 显示全部楼层 |阅读模式


  近日开源安全公司 WhiteSource 针对编程语言的安全性做了一份报告,这份报告提出了一个新问题 —— "有哪一种编程语言比其他的更安全吗?"编程语言之争,是开发者社区一直以来的热议问题,不过讨论的过程往往伴随着双方的愤怒及和谐的破损,不了了之。许多开发者喜欢证明他们使用的编程语言占主导地位,这个过程中经常提到的就有安全性。

a1450d764fc33fe119c83a4b97cd4c143f9.jpg


  近日 WhiteSource 就七种热门编程语言的安全性做了年岸度报告。该报告汇总了多个来源的开源漏洞信息,如国家漏洞数据库(NVD)、安全公告、GitHub 问题追踪器(Issue Tracker)和流行开源项目问题追踪器。

  WhiteSource 根据开源社区过去几年使用的一些流行语言,确认了七种比较热门的编程语言:C,Java,JavaScript,Python,Ruby,PHP 和 C ++.在这些编程语言的基础上,WhiteSource 搜索了数据库,查看了过去十年中每种语言中已知开源安全漏洞的数量、随时间推移这些安全漏洞发生的变化、以及各语言最常见的 CWE(Common Weakness Enumeration,通用缺陷列表)。


c51a12dfa4173861943dc1dd0b1d2ff5d52.jpg


  报告显示了过去10年中不同语言的开源漏洞总数,很明显居于首位的编程语言是 C 语言,占到了近一半的比例。

  不过这不能说明 C 语言的安全性远低于其他热门语言。如此高的占比有几个因素可以解释:一是 C 语言的使用时间在调查语言中是最长的,二是 C 语言一般编写的代码量很大,三是 Open SSL 和 Linux 内核等基础架构背后的主要语言之一就是 C 语言。这些存在时间、体积和中心性等因素的组合,可以解释 C 语言为什么存在这么多大量已知开源安全漏洞。

c33d9d0d591f82a58b150c4323dd123a487.jpg


  报告也显示了随着时间推移不同编程语言的开源安全漏洞数量变化。过去的十年中,它们各有自己的高点和低点。但是所有语言都由一个突出的趋势,就是近两年所有语言的已知安全漏洞数量都大幅增加。这可以看作是安全漏洞意识的提高及开源的更加普及。随着开源安全研究投入资源的增加,人们发现的安全问题数量也会变多。

72b462f17475c10da8219ce0c7231f93bb3.jpg


  这些漏洞的严重程度如何呢?调查人员研究高严重性的开源安全漏洞(CVSS v2 得分高于7)时,发现除了 JavaScript 和 PHP,报告中涉及的大多数语言严重漏洞的占比处于下降趋势。

  这可能是安全研究人员使用自动化工具的结果。虽然借助这些工具,过去几年大多数语言的中等漏洞数量一直在增加,但这些工具通常不能发现复杂和严重的安全问题。

  调查人员还研究了每种语言常见的 CWE.这其中,跨站脚本攻击(XSS,也被称为 CWE-79)和输入验证(也被称为 CWE-20)占据了最常见的位置。另外较为突出的 CWE 有信息泄漏(CWE-200),路径遍历(CWE-22),权限及访问控制(CWE-264)、不正当访问控制(CWE-284)等。

  "我的编程语言比你更安全",类似的话题可以是一种有趣的消磨时间方式。关于哪种编程语言最安全的讨论往往也会出现一些有趣的观点,而找到最终答案反而可能无法帮助你创造兼具创新性和安全性的软件。

  如今,大多数软件开发都依赖多种编程语言来实现,而不是执着于某一编程语言。掌握已知的开源漏洞、了解团队正在使用的编程语言中的优点和缺点,这些都是确保软件项目从一开始就具有安全性的好方法。

  最安全的编程语言没有最终赢家。WhiteSource 从研究中得出的最后一个结论是,编程语言的安全性无关于语言本身,而是取决于使用者的使用方式。开发团队使用了适当的管理方法,减轻整个 SDLC (系统生存周期)的漏洞,这才是保证项目安全的好选择。














原文链接:https://www.cnbeta.com/articles/tech/830963.htm
最近访问 头像模式 列表模式
fudashuai 发表于 2019-4-4 13:06:49 | 显示全部楼层

活跃 2447| 技术 0| 互助 0| 钻石 0

只能比较而已,没有绝对安全的编程语言!
您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

Lacy

37058

活跃

1

技术

6

互助
签到任务
最火的业界新闻
  • 把“不可能”变为现实的龙芯团队
  • 罗永浩回来了?锤子商城多款商品有货 力推
  • 黑客利用XSS漏洞 可访问谷歌的内部网络
  • 华为发布公告:任正非将对话两位当代思想家
  • 高通骁龙865曝光:支持LPDDR5X和UFS 3.0 有
  • 华为12GB内存P30、P30 Pro在G.X.部入网
  • 群联首发SD/microSD Express存储卡主控:读
  • X570不够:AMD或将推出更高端的X590主板
  • 联想Yoga S940使用报告:除续航短板外近乎
  • [图]小米将于7月1日停止MIUI全球Beta测试计
炫酷的硬件Show
  • 振华SUPER FLOWER 铜皇450W 铜牌电源
  • 比小更小,Mini-STX装机
  • 华擎X99E-ITX + 银欣ML06 装机记
  • 最强双路泰坦硬管水冷 制作流程
  • 银欣FT02,双路E5工作站
  • 迟到的定制机箱小钢炮清理灰尘
  • 乔思伯UMX1 Plus,小巧的家用综合主机
  • 分体水冷第二弹-Inwin 805 infinity
  • 第一次DIY硬管水冷~~
  • 樱桃MX6.0 青轴 机械键盘 开箱
有趣的美图分享
  • 男人的四个死穴,女人最好不要碰
  • 这才是模特该有的样子,已经非常生动形象了
  • 这个夏天跟个知了过不去了......
  • 再见! 高三再见! 高考再见!
  • 你见过世上所有的钱吗?
  • 又被骗
  • 霸气侧漏
  • 蚊子:这日子太苦了
  • 长大后才发现,小时候课文里的全是人生!
  • 都靠一双巧手
关注官方微信
快速回复 返回顶部 返回列表