Фахівці компанії представили звіт Veracode, робота над яким зайняла у них близько півтора років. За цей час експерти вивчили більше 200 000 різних додатків, прагнучи визначити, як йдуть справи з безпекою в сфері розробки. На виході вийшла цікава статистика. Уразливості в веб-додатках переважно є виною скриптових мов програмування.

Вивчивши сотні тисяч програм, написаних на мовах PHP, Java, JavaScript, Ruby, .NET, C і C ++, Microsoft Класичний ASP, COBOL, а також додатки для Android і IOS, дослідники прийшли до висновку, що найбільш небезпечними можна Вважати мови PHP, Класичний ASP і ColdFusion. Найбільш надійними виявилися Java і .NET.

Анти-топ виглядає наступним чином. При складанні звіту фахівці Veracode використовували власну унікальну метрику - дефектоскоп Щільність за МБ, тобто кількість багів на кожен мегабайт вихідного коду.

• Класичний ASP - 1686 Баг / Мб (1112 критичних)

• ColdFusion - 262 Баг / Мб (227 критичних)

• PHP - 184 Баг / Мб (47 критичних)

• Java - 51 Баг / Мб (5,2 критичних)

• .NET - 32 Баг / Мб (9,7 критичних)

• С ++ - 26 Баг / Мб (8,8 критичних)

• IOS - 23 Баг / Мб (0,9 критичних)

• програм для Android - 11 Баг / Мб (0,4 критичних)

• JavaScript - 8 Баг / Мб (0,9 критичних)

По суті, можна вважати, що список найбільш уразливих мов очолює PHP, ColdFusion оскільки це нішевий інструмент, а класичний ASP практично мертвий.

Якщо подивитися на проблеми PHP більш детально, з'ясовується наступне:

• 86% додатків, написаних на PHP, містять хоча б одну XSS уразливість;

• 56% схильні багу SQLI, а це одна з найбільш простих в експлуатації уразливостей у веб-додатках;

• 67% додатків дозволяють здійснити обхід каталогу;

• 61% додатків дозволяють здійснити ін'єкцію коду;

• 58% додатків мають проблеми з управлінням обліковими даними;

• 73% додатків містять помилки криптографії;

• 50% додатків допускають витік інформації.

Варто відзначити, що уразливості XSS і SQLI входять в десятку найбільш небезпечних багів у веб-додатках, на думку відкритого веб-проекту безпека додатків (OWASP).

Якщо спиратися на класифікацію OWASP, виходить, що 83% додатків на ColdFusion, 81% додатків на PHP і 79% на класичний ASP показали поганий результат, по суті, заваливши перевірку зовсім.

У висновку технічний директор компанії Veracode, Кріс Вайсопал (Wysopal) пише: «Коли організації починають новий проект розробки і вибирають для нього мови і методологію, у групи безпеки є можливість спрогнозувати, з якими типами вразливостей їм, швидше за все, доведеться зіткнутися і розробити для них оптимальні методики тестування ».