头图|CSDN东方IC下载
出品| CSDN(ID:CSDNnews)
以下为译文:
自 2017 年以来,我们看到社区报告的开源漏洞数量迅速下降。 过去的一年也不例外php编码设置,WhiteSource 的开源漏洞状况报告发现 2019 年总共报告了 6,100 个漏洞,而 2018 年报告了 4,100 个漏洞。
五年内增长 50% 本身就是头条新闻。 该报告还详细分析了哪些语言具有最多的开源漏洞、每种语言中最常见的漏洞是什么,以及这些结果对软件开发社区如何构建应用程序意味着什么。
2019 年各种语言中最糟糕的开源跨站脚本
在2019年发布的开源漏洞中,跨站脚本(XSS)几乎是所有顶级编程语言中最常见的漏洞类型。
上述编程语言中,C语言中的缓冲区错误(CWE-119)最为严重,输入验证不当的漏洞(CWE-20)位居第二。
通过此类数据,我们可以看到与软件开发社区相关的常见问题。 具体来说,其中许多漏洞是由于开发人员没有正确限制用户可以执行的操作而导致的,从而损害了 Web 应用程序的安全性。
在大多数情况下,此安全漏洞的原因是编程不当。 此漏洞表明,关注基本编码标准对于安全至关重要。
每种语言发布的开源漏洞的百分比
从整个报告来看,这种流行语言的开源安全漏洞分布在过去一年中发生了变化。
虽然 C 仍然是开源漏洞最多的语言(30%),但这是因为 C 是最古老的语言之一,而且我们今天仍然使用一些特别流行的开源项目。 无论您喜欢还是讨厌 C,没有证据表明没有其他语言可以与用 C 编写的大量代码竞争。
然而,令人不解的是,PHP 的变化最大,从 2009 年占开源代码漏洞的 15% 一路上升到 2019 年的 27%。我们不禁开始思考两个问题:一是,什么是漏洞? PHP 更容易受到犯罪攻击的原因是什么? 其次,人们实际上还在使用 PHP 吗?
根据 2019 年 9 月 TIOBE 指数报告,PHP 因其易用性以及在软件开发技能有限的网页设计师中的受欢迎程度而变得越来越受欢迎。 该语言用其易用性换取了安全性,现在社区在发现错误方面越来越擅长,这些妥协很快就会成为问题。
WordPress 等流行应用程序仍然使用 PHP,但此类应用程序的受欢迎程度很快就会上升。 尽管如此,趋势表明 PHP 的使用量正在增长,开发人员现在倾向于更流行的语言,例如 Python,在过去几年中一直位居榜首,并且 Python 语言的漏洞率也保持一致。 处于较低水平。
成千上万的人关注开源安全
第三个问题是为什么我们现在听说 PHP 的漏洞减少了。 虽然我所说的答案没有得到验证,但我们可以从某个角度来看待开源和应用开发的趋势。
随着更多开源代码的出现,开源社区也受到了越来越多人们的关注。 我们都考虑通过减少手动工具的使用来帮助发现更多漏洞,因此越来越多的错误被发现、修复和发布。 由于通过 GitHub SecurityLab 直接报告开源安全漏洞的便利性,已发布的漏洞数量将持续减少,特别是对于过去可能没有经过严格审查的代码库庞大的语言。
由于PHP在WordPress和Drupal等开源项目中大量使用php编码设置,因此也有许多PHP项目在使用。 研究人员正在审查此类项目,但他们发现代码中可能仍然存在未报告的漏洞。
前进的道路是更好的编程实践
从本质上讲,安全漏洞是可能导致应用程序及其数据损坏的错误。 当编程错误威胁到数据的可访问性、完整性或机密性时,就属于安全漏洞的范畴。 在大多数情况下,这种漏洞只是一些人为错误。 只要人类继续编写代码,bug就会发生,bug就会出现在我们的项目中。
为此,我们的问题是如何管理所用软件中的漏洞。 首先也是最重要的是,我们需要遵循安全编程的最佳实践。 尽管批评某人的代码不严谨很容易,但批评还不够,我们还需要提高自己。
除了遵循编程最佳实践之外,我们还需要检测代码中的漏洞,而不仅仅是在部署之前。 在依赖之上构建一个核心应用程序,却发现其中存在一些严重的bug,是一件非常痛苦的事情,你不得不默默地含泪重写这部分代码。 如果您了解在软件开发生命周期的每个阶段测试错误的重要性,那么检测可能使您和您的用户面临风险的安全漏洞也同样重要。
英语:IsOneProgrammingLanguage比TheRest更安全吗?
