Державний університет інформаційно-комунікаційних технологій
XS
SM
MD
LG
XL
XXL
Державний університет інформаційно-комунікаційних технологій
Державний університет інформаційно-комунікаційних технологій

Адреса:
03110, Україна
м. Київ, вул. Солом'янська, 7
Контактна інформація:
Приймальна комісія:
Телефон: (044) 249-25-91,
Телефон: (066) 227-46-60
Відділ документаційно-інформаційного забезпечення та контролю
Телефон / факс: (044) 249-25-12
Відділ медіакомунікацій
Телефон: (099) 109-41-23
Державний університет інформаційно-комунікаційних технологій
  
Укр.
 
      
           Пошук    
  
Укр.
 

Які мови породжують найбільше багів

11:04, 21-12-2015

Фахівці компанії представили звіт Veracode, робота над яким зайняла у них близько півтора років. За цей час експерти вивчили більше 200 000 різних додатків, прагнучи визначити, як йдуть справи з безпекою в сфері розробки. На виході вийшла цікава статистика. Уразливості в веб-додатках переважно є виною скриптових мов програмування.

Вивчивши сотні тисяч програм, написаних на мовах PHP, Java, JavaScript, Ruby, .NET, C і C ++, Microsoft Класичний ASP, COBOL, а також додатки для Android і IOS, дослідники прийшли до висновку, що найбільш небезпечними можна Вважати мови PHP, Класичний ASP і ColdFusion. Найбільш надійними виявилися Java і .NET.

Анти-топ виглядає наступним чином. При складанні звіту фахівці Veracode використовували власну унікальну метрику - дефектоскоп Щільність за МБ, тобто кількість багів на кожен мегабайт вихідного коду.

• Класичний ASP - 1686 Баг / Мб (1112 критичних)

• ColdFusion - 262 Баг / Мб (227 критичних)

• PHP - 184 Баг / Мб (47 критичних)

• Java - 51 Баг / Мб (5,2 критичних)

• .NET - 32 Баг / Мб (9,7 критичних)

• С ++ - 26 Баг / Мб (8,8 критичних)

• IOS - 23 Баг / Мб (0,9 критичних)

• програм для Android - 11 Баг / Мб (0,4 критичних)

• JavaScript - 8 Баг / Мб (0,9 критичних)

По суті, можна вважати, що список найбільш уразливих мов очолює PHP, ColdFusion оскільки це нішевий інструмент, а класичний ASP практично мертвий.

Якщо подивитися на проблеми PHP більш детально, з'ясовується наступне:

• 86% додатків, написаних на PHP, містять хоча б одну XSS уразливість;

• 56% схильні багу SQLI, а це одна з найбільш простих в експлуатації уразливостей у веб-додатках;

• 67% додатків дозволяють здійснити обхід каталогу;

• 61% додатків дозволяють здійснити ін'єкцію коду;

• 58% додатків мають проблеми з управлінням обліковими даними;

• 73% додатків містять помилки криптографії;

• 50% додатків допускають витік інформації.

Варто відзначити, що уразливості XSS і SQLI входять в десятку найбільш небезпечних багів у веб-додатках, на думку відкритого веб-проекту безпека додатків (OWASP).

Якщо спиратися на класифікацію OWASP, виходить, що 83% додатків на ColdFusion, 81% додатків на PHP і 79% на класичний ASP показали поганий результат, по суті, заваливши перевірку зовсім.

У висновку технічний директор компанії Veracode, Кріс Вайсопал (Wysopal) пише: «Коли організації починають новий проект розробки і вибирають для нього мови і методологію, у групи безпеки є можливість спрогнозувати, з якими типами вразливостей їм, швидше за все, доведеться зіткнутися і розробити для них оптимальні методики тестування ».

© При повному чи частковому використанні матеріалів сайту ДУІКТ гіперпосилання на сайт https://duikt.edu.ua/ обов'язкове!
Читайте також
Бажаєте дізнаватись про особливості вступу у 2025 році?
Підписуйтесь на спільноти спеціальності "125 Кібербезпека та захист інформації" кафедри Систем та технологій кібербезпеки та першим отримуйте новини, сповіщення про важливі події, підготовчі курси, дні відкритих дверей та багато цікавого.

Про кафедру

Кафедра Систем та технологій кібербезпеки

Абітурієнту

Освітня програма Інформаційна та кібернетична безпека кафедри систем та технологій кібербезпеки

Освітня програма інформаційна та кібернетична безпека кафедри систем та технологій кібербезпеки базується на розробці і впровадженні технологій із застосуванням передусім програмних та апаратно-програмних засобів.

Фахівці з ІКБ - це еліта інформаційної та кібернетичної безпеки, які отримують теоретичні знання та практичні навички з програмування, розробки та управління базами даних, формування моделей захисту інформації та політик безпеки, технічного і криптографічного захисту інформації, побудови захищених цифрових TCP/IP мереж та обслуговування сертифікатів відкритих ключів, тестування систем захисту на проникнення, адміністрування захищених інформаційних та комунікаційних систем, проведення їх моніторингу та аудиту тощо.

Освітня програма Інформаційна та кібернетична безпека кафедри систем та технологій кібербезпеки

Освітня програма інформаційна та кібернетична безпека кафедри систем та технологій кібербезпеки базується на розробці і впровадженні технологій із застосуванням передусім програмних та апаратно-програмних засобів.

Фахівці з ІКБ - це еліта інформаційної та кібернетичної безпеки, які отримують теоретичні знання та практичні навички з програмування, розробки та управління базами даних, формування моделей захисту інформації та політик безпеки, технічного і криптографічного захисту інформації, побудови захищених цифрових TCP/IP мереж та обслуговування сертифікатів відкритих ключів, тестування систем захисту на проникнення, адміністрування захищених інформаційних та комунікаційних систем, проведення їх моніторингу та аудиту тощо.

Переглядів: 4 951