Каждый разработчик имеет свой собственный набор предпочтений, когда дело доходит до его любимого языка программирования. Честно говоря, нет такого официального термина, как «самый безопасный язык». Но последний опрос, проведенный WhiteSource, выявил некоторые важные аспекты безопасности различных языков программирования.

Как измерить безопасность языка программирования?

Чтобы проверить уязвимости на любом языке, очень важно учитывать различные факторы, такие как уязвимость буфера потока, Common Weakness Enumeration (CWE), ошибку Heartbleed и т.д. Опрос проводился для семи самых популярных языках программирования, таких как PHP, Python, Java, Ruby, JavaScript, C и C ++. В рейтинге также извлекли информацию из различных баз данных, таких как советы по безопасности, средства отслеживания проблем GitHub, национальная база данных уязвимостей и т. д.

Источник: WhiteSource Software

Ruby

Согласно опросу, Ruby имеет минимальное количество уязвимостей безопасности и поэтому может считаться наиболее безопасным языком программирования. С точки зрения CWE, наиболее распространенными CWE являются уязвимости XSS, но есть и другие найденные CWE, такие как CWE-20, CWE-200, CWE-264 и CWE 284. В среднем Ruby столкнулся только с 19% серьезных уязвимостей в последние пять лет.

C ++

C ++ также подходит для безопасных языков программирования. За последние пять лет уязвимости высокой степени составляют в среднем 36%, но количество обнаруженных уязвимостей значительно меньше. Согласно отчету, они обнаружили только две уязвимости в этом языке, такие как ошибки буфера (CWE-119) и проблемы проверки (CWE-20).

Python

Было время, когда Python достигал пика с точки зрения уязвимостей, но сейчас он значительно улучшился. Проверка входных данных (CWE-20, разрешения, привилегии и контроль доступа (CWE-264), утечка/раскрытие информации (CWE-200) и межсайтовый скриптинг (CWE-79) являются одними из доминирующих уязвимостей в Python. Самая низкая (в среднем 15%) уязвимость высокой степени серьезности за последние пять лет.

JavaScript

Будучи одним из самых популярных языков программирования, JavaScript постоянно увеличивал число уязвимостей в течение последних десяти лет. Принимая во внимание уязвимости более высокой степени серьезности, они составляют в среднем 31% за последние пять лет. Наиболее распространенные перечисления слабости (CWE) в JavaScript - это обход пути (Cwe-22) и криптографические проблемы (CWE-310).

Java

Java также сталкивается с постоянным ростом числа уязвимостей с 2016 года. Если посмотреть на статистику, в 2018 году они почти удвоилась по сравнению с 2017 годом. Уязвимости высокой степени опасности в среднем составляют 19% за последние пять лет. 

PHP

PHP имеет наибольшее количество уязвимостей среди всех языков. Это единственный язык с уязвимостью SQL Injection (CWE-89), которая росла в 2017 и 2018 годах. Другая распространенная уязвимость, связанная с PHP, - межсайтовый скриптинг (CWE-79). Средняя уязвимость высокой степени серьезности за последние пять лет составляет 16%.

С

C, являющийся матерью всех языков программирования, имеет более 50% всех зарегистрированных уязвимостей с открытым исходным кодом. Помимо уязвимостей, он также имеет большое количество проблем с повреждением памяти, таких как ошибки буфера (CWE-119). Уязвимости высокой степени опасности за последние пять лет в среднем составляют 26%, учитывая значительный всплеск в 2017 году.