أكثر من ثلاثة أرباع التطبيقات المكتوبة بلغة Java و .NET بها ثغرة أمنية واحدة على الأقل من OWASP Top 10 ، وهي قائمة بنقاط ضعف البرامج التي يستخدمها المطورون عادةً كخط أساس لأمان التطبيقات.
هذا وفقًا لشركة Veracode لاختبار البرمجيات ، التي وجدت في تحليل لما يقرب من 760,000 ألف تطبيق أن واحدًا من كل خمسة تطبيقات تستخدم هذين النظامين البيئيين للبرمجة به ثغرة واحدة على الأقل شديدة الخطورة أو شديدة الخطورة.
بشكل عام ، كان لدى التطبيق المتوسط فرصة بنسبة 27٪ لظهور ثغرة أمنية واحدة على الأقل كل شهر ، حيث من المحتمل أن تكون التطبيقات المكتوبة بشكل سيئ والتطبيقات التي يتم فحصها بشكل غير منتظم أكثر عيوبًا ، في حين أن التطبيقات ذات تاريخ أطول من عمليات الأمان تتم كتابتها بواسطة مدرب جيدًا أظهرت البيانات أن المطورين أقل احتمالًا لإدخال عيوب جديدة.
يسلط التحليل الضوء على أهمية دمج الأمن في خط أنابيب التطوير ، كما يقول تيم جاريت ، نائب رئيس إدارة المنتجات الإستراتيجية في شركة Veracode.
"تُظهر البيانات باستمرار أنه إذا أضفت عادة الأمان إلى عمليتك ، فستحصل على نتيجة أفضل ، سواء من حيث إصلاح العيوب العامة ، و ... يمكنك أيضًا إبطاء تدفق العناصر الواردة ، وهذا يحدث فرقًا كبيرًا ، " هو يقول.
وفي الوقت نفسه ، تواصل شركات البرمجيات وفرق التطوير الكفاح من أجل القضاء على العيوب ونقاط الضعف من كود التطبيق. بينما المطورين والمشاريع مفتوحة المصدر إصلاح عيوب البرامج بشكل أسرع، يستمر قياس نصف عمر متوسط الثغرات الأمنية بالأشهر وليس بالأيام أو الأسابيع ، وفقًا لتقرير Veracode "حالة أمان البرامج" ، الذي نُشر في 11 يناير.
على سبيل المثال ، تطبيقات Java و .NET ، التي شكلت 71٪ من إجمالي التطبيقات التي تم تحليلها بواسطة الدراسة ، شهدت نصف العيوب التي لا تزال تؤثر على التطبيقات بعد 243 يومًا و 158 يومًا على التوالي.
كان لانتفاخ التطبيق والعمر تأثير سلبي كبير على أمانهم. قام التطبيق المتوسط بتجميع كود أكثر بنسبة 40٪ ومن المرجح أن يحتوي على ثغرات أمنية. حوالي 54 ٪ من التطبيقات التي تبلغ من العمر عامين بها عيوب ، في حين أن 69 ٪ من التطبيقات التي تبلغ من العمر خمس سنوات بها عيوب ، وجد التحليل.
أمان جافا سكريبت المفاجئ
من المثير للدهشة أن التطبيقات المكتوبة بلغة JavaScript أو التي تستخدم أحد أطر عمل JavaScript تميل إلى تحقيق نتائج أفضل في عمليات فحص الثغرات الأمنية. في حين أن حوالي 80٪ من تطبيقات Java و .NET بها ثغرات أمنية ، فإن 56٪ فقط من تطبيقات JavaScript لديها ثغرات أمنية. وعلى الرغم من أن حوالي 20٪ من تطبيقات Java و .NET بها ثغرات أمنية شديدة الخطورة ، فإن أقل من 10٪ من تطبيقات JavaScript بها.
يقول جاريت إن أطر عمل جافا سكريبت أحدث ، وتتمتع بمزيد من الأمان ، وتتمتع بفوائد نظام بيئي مفتوح المصدر ، استفادت منه Java مؤخرًا نسبيًا.
"JavaScript هي لغة أحدث ، لذا فإن التطبيقات المكتوبة بها [هي] أحدث ، وهناك ارتباط أنشأناه في التقارير السابقة بين عمر التطبيق ووقت معالجة الخلل ،" كما يقول. "الكثير من الأدوات الخاصة بجافا سكريبت [] ناضجة وهي لغة مدعومة جيدًا."
علاوة على ذلك ، عندما تكون الثغرة الأمنية في تطبيق Java مشكلة من الطرف الأول - ترك المطور لإصلاح المشكلات - في JavaScript وإطار عمل Node.js ، غالبًا ما تكون الثغرات مشكلة طرف ثالث ، لأن الثغرة حدثت في أحد المكونات الذي يعتمد عليه البرنامج.
يقول: "لا تزال طريقة إصلاح مشكلة الأمان في تطبيق Java إلى حد كبير [حيث] تقوم بإجراء تغيير على ملف الفصل وتقوم بتجميعه". "في أي تطبيق JavaScript ، يكون الأمر أكثر مشكلة في إدارة الحزم. وهذا شيء مختلف للمطور أن يتعلمه ، وقد يكون أسهل ".
لغات البرمجة الجديدة
تسلط بيانات التقرير الضوء أيضًا على الاختلاف بين لغات البرمجة التي يتعلمها المطورون وتلك اللغة المستخدمة فعليًا في غالبية المؤسسات. أفضل اللغات والأنظمة البيئية - Java و .NET و JavaScript - التي شاهدتها Veracode ليست من اختيار المطورين لتقنية البرمجة.
بينما تهيمن الأطر المستندة إلى JavaScript و JS - مثل Node.js و React.js و Angular - على قوائم التكنولوجيا المفضلة للمطور ، تعد Java واحدة من لغات البرمجة الأقل إعجابًا ، حيث يخشى 54٪ من المستجيبين اللغة ، مقارنة مع 46٪ أحبوه ، وفقًا لـ Stack Overflow's مسح مطوري 2022.
ومع ذلك ، سيطرت Java على حصة التطبيقات التي تم مسحها ضوئيًا بواسطة عملاء Veracode (44٪) مقارنة بـ 14٪ لجافا سكريبت.
بالإضافة إلى ذلك ، فإن لغة البرمجة الأكثر شعبية ، Rust ، لا تظهر حتى في بيانات Veracode ، في حين أن رقم 6 للمطورين ، Python ، لا يمثل سوى أقل من 4٪ من التطبيقات الممسوحة ضوئيًا.
يقول Jarrett من Veracode ، إن جزءًا من سبب انقطاع الاتصال هو أن التطبيقات التي تم إنشاؤها مكتوبة بلغات البرمجة المعمول بها.
"لديك الكون الكامل لكل الشفرات الموجودة هناك ، وبعد ذلك يكون لديك نوع الرغوة على قمة موجة التطوير الجديد ، وهذا هو المكان الذي ترى فيه الأشخاص يلتقطون Go and Rust and Dart ورفرفة ، "كما يقول.
بسبب قواعد الرموز المجمعة للتطبيقات المكتوبة بتلك اللغات ، من المحتمل ألا يتغير هذا الموقف.
يقول: "التطبيقات القديمة لا تموت أبدًا ، لسوء الحظ ، لذلك هناك قدر كبير من الكتلة الحرجة في المؤسسات التي تحتوي على قواعد جافا البرمجية الكبيرة هذه وقواعد الرموز .NET".
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- بلاتوبلوكشين. Web3 Metaverse Intelligence. تضخيم المعرفة. الوصول هنا.
- المصدر https://www.darkreading.com/threat-intelligence/java-net-developers-frequent-vulnerabilities
- 000
- 10
- 11
- a
- من نحن
- وفقا
- الحسابات
- متراكم
- في الواقع
- إضافة
- بعد
- الكل
- تحليل
- و
- زاوي
- تطبيق
- أمان التطبيق
- التطبيقات
- التطبيقات
- السيارات
- المتوسط
- خط الأساس
- لان
- يجري
- الفوائد
- أفضل
- ما بين
- كبير
- سخام
- نساعدك في بناء
- فرصة
- تغيير
- خيار
- فئة
- عميل
- الكود
- آت
- الشركات
- مقارنة
- عنصر
- استمر
- تواصل
- ارتباط
- حرج
- البيانات
- أيام
- يعتمد
- المطور
- المطورين
- التطوير التجاري
- فعل
- مات
- فرق
- مختلف
- سيطر
- أسهل
- النظام الإيكولوجي
- النظم البيئية
- القضاء
- الشركات
- أنشئ
- الأثير (ETH)
- حتى
- مثال
- قم بتقديم
- شركة
- حل
- عيب
- معيب
- العيوب
- رفرفة
- رغوة
- وجدت
- الإطار
- الأطر
- متكرر
- تبدأ من
- بالإضافة إلى
- Go
- نصفي
- ويبرز
- تاريخ
- HTTPS
- التأثير
- أهمية
- in
- دمج
- تقديم
- أدخلت
- قضية
- مسائل
- IT
- يناير
- جافا
- جافا سكريبت
- نوع
- لغة
- اللغات
- إلى حد كبير
- تعلم
- تعلم
- مغادرة
- على الأرجح
- قائمة
- قوائم
- يعد
- الكثير
- أحب
- أغلبية
- جعل
- يصنع
- إدارة
- كتلة
- ناضج
- ماكس العرض
- شهر
- المقبلة.
- الأكثر من ذلك
- أكثر
- تقريبا
- سلبي
- صاف
- جديد
- العقدة
- نود.جي إس
- حدث
- قديم
- ONE
- جاكيت
- المصدر المفتوح
- مشاريع مفتوحة المصدر
- الكلي
- صفقة
- مجتمع
- خط أنابيب
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- رئيس
- سابق
- المشكلة
- عملية المعالجة
- العمليات
- منتج
- ادارة المنتج
- برمجة وتطوير
- لغات البرمجة
- مشروع ناجح
- نشرت
- بايثون
- رد فعل
- سبب
- مؤخرا
- نسبيا
- تقرير
- التقارير
- Rust
- أمن
- مشاركة
- إظهار
- يظهر
- هام
- حالة
- بطيء
- So
- تطبيقات الكمبيوتر
- أمن البرمجيات
- مصدر
- كومة
- الولايه او المحافظه
- لا يزال
- إستراتيجي
- النضال
- دراسة
- هذه
- مدعومة
- مفاجئ
- فريق
- تكنولوجيا
- سياسة الحجب وتقييد الوصول
- •
- من مشاركة
- شيء
- طرف ثالث
- تيم
- الوقت
- إلى
- تيشرت
- أعلى 10
- الإجمالي
- عادة
- الكون
- تستخدم
- Vice President
- نقاط الضعف
- الضعف
- موجة
- أسابيع
- التي
- في حين
- من الذى
- سوف
- مكتوب
- حل متجر العقارات الشامل الخاص بك في جورجيا
- زفيرنت
