报告:PHP,C ++,Java和.NET应用程序最经常出现缺陷

2020-12-20 16:52:30

热图显示,PHP的缺陷最多,其次是C ++,其次是Veracode的年度安全报告中的Java,.Net,JavaScript和Python。

Veracode已发布其年度软件安全状况报告的第11卷,其调查结果表明存在缺陷的应用程序已成为常态,开放源代码库越来越不可信,并且花费很长时间来解决问题。

该报告发现,完整的应用程序中有76%包含缺陷,而24%的应用程序中的缺陷被认为是非常严重的。约有70%的应用程序从其开源库继承了安全漏洞,但必须指出的是,只有30%的应用程序在其开源库中比在内部编写的代码中存在更多的安全漏洞。不仅应该归咎于开源项目。

Veracode在报告中说,由于开放源代码库无处不在,因此它们是一个巨大的攻击面。它还指出,内部代码的质量与开放源代码错误之间没有关联,强调了开发人员应该验证开放源代码库的安全性,无论他们认为自己的代码有多好。

关于错误的解决方式,Veracode发现它在报告中发现的73%的错误已得到修补,这与前几年相比有了很大的改进,当时该数字在50%左右。尽管有这个好兆头,但平均仍需要六个月才能关闭一半已发现的缺陷。

至于发现的各种安全漏洞,报告指出结果与往年一致。

"多数年来,顶级缺陷类型一直保持相当一致。去年的第10卷发现,信息泄漏,密码问题,CRLF注入和代码质量缺陷是应用程序中最常见的缺陷类型。在今年的研究中,前三名没有走动,第三名是密码学问题。在此报告中,几乎有三分之二的应用程序也存在缺陷,"报告说。

Veracode还发布了流行语言中最严重的错误的热图。有趣的是,使用最少的开源库的语言也是漏洞最多的一种:PHP。

查看热图,很容易发现所包含的五种流行语言中哪一种的安全性最差。紧随PHP的是C ++,然后是Java,.Net,JavaScript和Python。后两者的性能要比竞争对手好得多,每个缺陷中最严重的缺陷仅在大约30%的应用程序中发现。与PHP相比,其74.6%的应用程序容易受到跨站点脚本的攻击,JavaScript和Python是安全的强大力量。

无论选择哪种语言,实施最佳实践都是必不可少的,Veracode在报告中将其描述为“自然与自然”。从本质上讲,应用程序的本质是与应用程序有关的不可控制的元素,而培育方面则是您可以控制的元素。

"即使开发人员继承了一个旧的,巨大的安全债务应用程序,也没有人记得为什么要用这种方式编写代码,以修复缺陷和添加新功能,继续感到困难,"报告说。

我们已经研究了自然和养育方式对我们应用程序安全性的影响。我们发现,培育-我们的决策和行动-可以克服并改善应用程序和环境的性质," Veracode得出结论。

通过紧跟最新的网络安全新闻,解决方案和最佳实践来加强组织的IT安全防御。在星期二和星期四交货

立即注册