Сегодня мы живем в мире отсутствия безопасности и отсутствия конфиденциальности. От самих операционных систем до программ, которые мы используем каждый день, очень часто можно найти все виды уязвимостей, которые могут поставить под угрозу нашу безопасность. Однако, чья это вина, что есть недостатки безопасности? От разработчиков? Языков программирования? Существуют ли безопасные и небезопасные языки программирования? Или обе стороны действительно виноваты?
Современные операционные системы и программы действительно сложные проекты. Малейшая ошибка или ошибка в одной из сотен библиотек может поставить нашу программу под угрозу пользователей. Все языки программирования по умолчанию безопасны. Если мы используем их хорошо, они не должны подвергать пользователей риску. Хотя сейчас есть языки гораздо более склонны к сбоям (из-за неудач, сложности или отсутствия мер безопасности), которые могут привести к всевозможным уязвимостям.
Более безопасные языки программирования
Из всех наиболее часто используемых языков программирования наиболее уязвимым является Рубин. Этот язык программирования затронут только 5% уязвимостей. Кроме того, в общем и целом, это один из самых безопасных и надежных языков, поскольку, хотя в нем было зарегистрировано несколько уязвимостей, единственной, которая действительно беспокоит, является возможность проведения XSS-атак. Если самый безопасный язык программирования должны были быть рекомендованы, это было бы идеальным для названия.
C ++ это еще один из языков программирования с наименьшим количеством уязвимостей, который мы можем найти, только с 6% уязвимого кода. Тем не менее, он не является одним из самых отлаженных, так как в нем имеется большое количество проблем с повреждением памяти и ошибками буфера, которые могут привести к более сложным компьютерным атакам.
Продолжая список безопасных языков программирования с меньшим количеством уязвимостей, мы приходим к Python. В прошлом этот язык был одним из худших с точки зрения безопасности. Однако за последние годы он значительно улучшился и решил большинство проблем, которые влияли на него в прошлом. Конечно, у него все еще есть самые критические уязвимости, которые мы можем найти сегодня, такие как отсутствие проверки входа, повышение привилегий, утечка информации и XSS. Если мы знаем, как программировать на Python, у нас может быть надежная программа. Но если мы запрограммируем неправильно, у нас будет фильтр, буквально.
И это также имеет специальные JavaScript упомянуть . Это также широко используется в веб-разработке и скрывает только 11% уязвимостей. Среди его основных недостатков - криптографические проблемы, которые вынуждают нас использовать сторонние API для их решения.
Языки с большим количеством уязвимостей
С другой стороны, среди самых уязвимых языков программирования, первый, который мы собираемся найти, C. И это очевидно, поскольку это один из языков программирования, на котором написано больше кода (особенно старого), поэтому вероятность обнаружения уязвимостей в этом коде очень высока. Из общего числа обнаруженных уязвимостей 47% находятся в коде, написанном на этом языке программирования. Однако ошибок как таковых, специфичных для языка, было найдено только два: ошибка буфера и различные проблемы проверки.
PHP является одним из наиболее используемых языков в веб-программировании (бэкэнд) и, следовательно, одним из самых ярких для хакеров. Это второй язык программирования с наибольшим количеством уязвимостей (17% от общего числа), и что самое поразительное, это то, что этот язык является единственным, который имеет критические уязвимости, такие как SQL-инъекция, и который также может быть использован в XSS. Две уязвимости, эксплуатируемые в сети, и которые трудно устранить.
И, конечно, мы не могли закончить, не говоря о Java. Мультиплатформенный язык программирования, который так использовался несколько лет назад, также является одной из самых скрытых уязвимостей внутри из-за своей сложности. 12% уязвимостей обнаруживаются в этом языке программирования, который, хотя в последнее время довольно сильно потерял популярность, по-прежнему остается одной из основных опор. Android.
Повторное использование кода: преимущество или риск?
В настоящее время можно найти большое количество открытого исходного кода на таких платформах, как GitHub. Этот код, в зависимости от имеющейся у вас лицензии, может свободно использоваться в других типах проектов, что может сэкономить нам много времени при разработке наших программ. Тем не менее, повторное использование кода скрывает один из OpenSource-х самые большие проблемы : уязвимости.
Это очень распространено для всех типов разработчиков, в том числе для крупных компаний, таких как Microsoft или Google, чтобы воспользоваться преимуществами открытых библиотек, чтобы предоставить пользователям определенные функции и возможности. Пока все хорошо, поскольку, кроме того, это обеспечивает некоторую прозрачность непрозрачным проектам, которые обычно создают эти компании. Однако мы должны помнить об очень важном препятствии: уязвимость в библиотеке с открытым исходным кодом автоматически ставит под угрозу все проекты, которые ее используют.
Мы уже видели основные уязвимости (например, OpenSSL), которые проверяют безопасность тысяч программ и платформ по всему миру. Кроме того, когда обнаруживается уязвимость этого типа, необходимо, с одной стороны, разработчику исходного проекта обновить свою библиотеку, а с другой стороны, разработчикам уязвимых программ включить новую версию. в их программе через обновление.
Повторное использование кода является одной из характеристик современных программ и систем. Но мы никогда не должны доверять себе, поскольку вероятность появления уязвимости в используемом нами коде намного выше, чем если бы мы сами создали код.
