作者 | Michael Hollander
译者 | 弯月,责编 | 唐小引
头图 | CSDN 下载自东方 IC
出品 | CSDN(ID:CSDNnews)
以下为译文:
开源漏洞又一次涌现了增加的趋势。
自 2017 年以来,我们看到社区报告的开源漏洞数量迅速增加。过去的一年也不例外,WhiteSource 的《开源漏洞状况》报告创造,2019 年共计报告了 6,100 个漏洞,而 2018 年报告的漏洞为 4,100 个。
两年之间的上升率高达 50%本身就可以上头条了。该报告还剖析了哪些措辞的开源漏洞最多,每种措辞最常见的漏洞是什么,以及这些结果对付软件开拓社区如何构建运用程序的启迪。
2019 年每种措辞最严重的开源跨站脚本
在 2019 年发布的开源漏洞中,跨站脚本(Cross-site scripting,即 XSS)险些是所有顶级编程措辞中最常见的漏洞类型。
在上述编程措辞中,最严重的是 C 措辞涌现的缓冲区缺点(CWE-119),而带有输入验证不当(CWE-20)漏洞位居第二。
通过这些数据,我们可以看出与软件开拓社区有关的常见问题。详细来讲,个中的许多漏洞都是由于开拓职员没有适当限定用户可以实行的操作而造成的,也因此毁坏了 Web 运用程序的安全性。
在大多数情形下,这些安全漏洞的缘故原由都是编程不足严谨。这些漏洞表明,重视基本的编码标准对安全至关主要。
每种措辞发布的开源漏洞比率
从全体报告来看,在过去的一年中,这些盛行措辞中开源安全漏洞的分布有所变革。
只管 C 仍旧是开源漏洞最多(占 30%)的措辞,但这是由于 C 是最古老的措辞之一,我们至今仍在利用一些非常受欢迎的开源项目。无论你喜好还是讨厌 C 措辞,无可否认,没有其他措辞可以与 C 编写的大量代码竞争。
然而,令人不解的是 PHP 的变革最大,从 2009 年开源代码漏洞的 15%一起上升到 2019 年的 27%。我们不禁开始思考两个问题:首先,PHP 更随意马虎受到攻击的缘故原由是什么?其次,人们是否仍旧真的在利用 PHP?
根据 2019 年 9 月的 TIOBE 指数报告,PHP 因其易用性而广受软件开拓技能力有限的 Web 设计师的欢迎,因此 PHP 变得越来越盛行。该措辞彷佛用其易用性交流了安全性,而如今社区越来越善于创造漏洞,因此这种折上钩划很快就会成问题。
WordPress 等盛行的运用程序仍在利用 PHP,但是这些运用程序的盛行度也会很快低落。也便是说,趋势表明,PHP 的利用正不才降,如今开拓职员方向于利用更盛行的措辞,例如 Python,在过去的几年中,该措辞一贯位居榜首,而且 Python 措辞的漏洞发生率一贯保持在较低水平。
成千上万的人都在聚焦开源的安全性
第三个问题是为什么我们如今会看到 PHP 的漏洞增加。只管我所说的答案没有经由验证,但是我们可以从某种角度看待开源和运用程序开拓的趋势。
随着更多开源代码的问世,开源社区也受到了越来越多人的瞩目。我们还会考虑通过增加自动化工具的利用来帮忙创造更多漏洞,因此被创造、修复和发布的 bug 也越来越多。由于通过 GitHub Security Lab 直接报告开源安全漏洞非常便利,因此已发布的漏洞数量将持续增加,尤其是拥有大量代码库但以前可能没有受到严格审查的措辞。
由于 WordPress 和 Drupal 等开源项目中大量利用了 PHP,因此还有很多 PHP 项目正在利用中。研究职员正在审查这些项目,而且他们创造了代码中可能一贯存在尚未报告的漏洞。
提高的方向是更好的编程实践
实质上,安全漏洞便是一些 bug,它们可能会导致运用程序及其数据遭受毁坏。当编程缺点威胁到数据的可访问性、完全性或机密性时,就属于安全漏洞领域。在大多数情形下,这些漏洞只是一些人为缺点。只要人类连续编写代码,缺点就会发生,漏洞也会涌如今我们的项目中。
因此,我们的问题是如何管理所利用软件中的漏洞。首先,最主要的是我们须要遵照最佳实践来进行安全编程。虽然批评某人的代码不足严谨很大略,但只有批评还不足,我们还须要提升自我。
除了遵照编程的最佳实践外,我们还须要检讨代码中的漏洞,而不仅仅是在支配之前。在依赖项之上构建了核心运用程序,却创造个中存在一些严重的漏洞,这是一件十分痛楚的事情,你不得不含泪默默地重新编写这部分代码。如果你理解软件开拓生命周期各个阶段测试缺点的主要性,那么就该当明白检讨可能将你和用户置于危险之中的安全漏洞同样主要。
英文:Is One Programming Language More Secure Than The Rest?
链接:https://dzone.com/articles/is-one-programming-language-more-secure
作者:Michael Hollander
译者:弯月
本文为 CSDN 翻译,转载请注明来源出处。
作为“百万人学AI”的主要组成部分,2020 AIProCon 开拓者万人大会将于6月26日通过线上直播形式,让开发者们一站式学习理解当下 AI 的前沿技能研究、核心技能与运用以及企业案例的实践履历,同时还可以在线参加精彩多样的开拓者沙龙与编程项目。参与前瞻系列活动、在线直播互动,不仅可以与上万名开拓者们一起互换,还有机会赢取直播专属好礼,与技能大咖连麦。
评论区留言入选,可得到代价299元的「2020 AI开拓者万人大会」在线直播门票一张。 快来动动手指,写下你想说的话吧!
☞微软为一人收购一公司?破解索尼程序、写黑客小说,看他彪悍的程序人生!
☞中国无人机“老炮儿”回顾录
☞4 年 46 个版本,一文读懂 Spring Cloud 发展历史
☞京东商城背后的AI技能能力揭秘 - 基于关键词自动天生择要
☞互联网之父确诊新冠,一代传奇:任谷歌副总裁、NASA 访问科学家
☞从未如此大略:10分钟带你逆袭Kafka!
☞无代码时期来临,程序员如何保住饭碗?
