Державний університет інформаційно-комунікаційних технологій
XS
SM
MD
LG
Державний університет інформаційно-комунікаційних технологій
Державний університет інформаційно-комунікаційних технологій

Адреса:
03110, Україна
м. Київ, вул. Солом'янська, 7
Контактна інформація:
Державний університет інформаційно-комунікаційних технологій
Укр.
   

Які мови породжують найбільше багів

11:04, 21-12-2015

Фахівці компанії представили звіт Veracode, робота над яким зайняла у них близько півтора років. За цей час експерти вивчили більше 200 000 різних додатків, прагнучи визначити, як йдуть справи з безпекою в сфері розробки. На виході вийшла цікава статистика. Уразливості в веб-додатках переважно є виною скриптових мов програмування.

Вивчивши сотні тисяч програм, написаних на мовах PHP, Java, JavaScript, Ruby, .NET, C і C ++, Microsoft Класичний ASP, COBOL, а також додатки для Android і IOS, дослідники прийшли до висновку, що найбільш небезпечними можна Вважати мови PHP, Класичний ASP і ColdFusion. Найбільш надійними виявилися Java і .NET.

Анти-топ виглядає наступним чином. При складанні звіту фахівці Veracode використовували власну унікальну метрику - дефектоскоп Щільність за МБ, тобто кількість багів на кожен мегабайт вихідного коду.

• Класичний ASP - 1686 Баг / Мб (1112 критичних)

• ColdFusion - 262 Баг / Мб (227 критичних)

• PHP - 184 Баг / Мб (47 критичних)

• Java - 51 Баг / Мб (5,2 критичних)

• .NET - 32 Баг / Мб (9,7 критичних)

• С ++ - 26 Баг / Мб (8,8 критичних)

• IOS - 23 Баг / Мб (0,9 критичних)

• програм для Android - 11 Баг / Мб (0,4 критичних)

• JavaScript - 8 Баг / Мб (0,9 критичних)

По суті, можна вважати, що список найбільш уразливих мов очолює PHP, ColdFusion оскільки це нішевий інструмент, а класичний ASP практично мертвий.

Якщо подивитися на проблеми PHP більш детально, з'ясовується наступне:

• 86% додатків, написаних на PHP, містять хоча б одну XSS уразливість;

• 56% схильні багу SQLI, а це одна з найбільш простих в експлуатації уразливостей у веб-додатках;

• 67% додатків дозволяють здійснити обхід каталогу;

• 61% додатків дозволяють здійснити ін'єкцію коду;

• 58% додатків мають проблеми з управлінням обліковими даними;

• 73% додатків містять помилки криптографії;

• 50% додатків допускають витік інформації.

Варто відзначити, що уразливості XSS і SQLI входять в десятку найбільш небезпечних багів у веб-додатках, на думку відкритого веб-проекту безпека додатків (OWASP).

Якщо спиратися на класифікацію OWASP, виходить, що 83% додатків на ColdFusion, 81% додатків на PHP і 79% на класичний ASP показали поганий результат, по суті, заваливши перевірку зовсім.

У висновку технічний директор компанії Veracode, Кріс Вайсопал (Wysopal) пише: «Коли організації починають новий проект розробки і вибирають для нього мови і методологію, у групи безпеки є можливість спрогнозувати, з якими типами вразливостей їм, швидше за все, доведеться зіткнутися і розробити для них оптимальні методики тестування ».

© При повному чи частковому використанні матеріалів сайту ДУІКТ гіперпосилання на сайт https://duikt.edu.ua/ обов'язкове!
Читайте також
Бажаєте дізнаватись про особливості вступу у 2024 році?
Підписуйтесь на спільноти спеціальності "125 Кібербезпека" кафедри Інформаційної та кібернетичної безпеки та першим отримуйте новини, сповіщення про важливі події, підготовчі курси, дні відкритих дверей та багато цікавого.

Про кафедру

Кафедра Інформаційної та кібернетичної безпеки

Отримати консультацію

Ваш запит на зворотній дзвінок отримає завідуючий кафедрою
Надіслати запит

Абітурієнту

Спеціалізація: Інформаційна та кібернетична безпека

Спеціалізація Інформаційна та кібернетична безпека  (ІКБ) базується на розробці і впровадженні технологій із застосуванням передусім програмних та апаратно-програмних засобів.

Фахівці з ІКБ - це еліта інформаційної та кібернетичної безпеки, які отримують теоретичні знання та практичні навички з програмування, розробки та управління базами даних, формування моделей захисту інформації та політик безпеки, технічного і криптографічного захисту інформації, побудови захищених цифрових TCP/IP мереж та обслуговування сертифікатів відкритих ключів, тестування систем захисту на проникнення, адміністрування захищених інформаційних та комунікаційних систем, проведення їх моніторингу та аудиту тощо.

Спеціалізація: Інформаційна та кібернетична безпека

Спеціалізація Інформаційна та кібернетична безпека  (ІКБ) базується на розробці і впровадженні технологій із застосуванням передусім програмних та апаратно-програмних засобів.

Фахівці з ІКБ - це еліта інформаційної та кібернетичної безпеки, які отримують теоретичні знання та практичні навички з програмування, розробки та управління базами даних, формування моделей захисту інформації та політик безпеки, технічного і криптографічного захисту інформації, побудови захищених цифрових TCP/IP мереж та обслуговування сертифікатів відкритих ключів, тестування систем захисту на проникнення, адміністрування захищених інформаційних та комунікаційних систем, проведення їх моніторингу та аудиту тощо.

Переглядів: 4 630
Вступ до магістратури
лише за ЄВІ
та вступним випробуванням


за спеціальністю 172 Електронні комунікації та радіотехніка