بیش از سه چهارم برنامه های نوشته شده در جاوا و دات نت حداقل یک آسیب پذیری از 10 برتر OWASP دارند، لیستی از ضعف های نرم افزاری که توسعه دهندگان معمولاً از آن به عنوان پایه ای برای امنیت برنامه ها استفاده می کنند.
این بر اساس شرکت تست نرم افزار Veracode است که در تجزیه و تحلیل نزدیک به 760,000 برنامه دریافت که از هر پنج برنامه کاربردی که از این دو اکوسیستم برنامه نویسی استفاده می کنند، یک مورد حداقل یک آسیب پذیری با شدت بالا یا بحرانی دارد.
به طور کلی، برنامههای کاربردی متوسط ۲۷ درصد شانس دارند که حداقل یک آسیبپذیری در هر ماه معرفی شوند، برنامههای ضعیف نوشته شده و برنامههایی که به ندرت اسکن میشوند احتمالاً دارای نقص بیشتری هستند، در حالی که برنامههایی با سابقه طولانیتر فرآیندهای امنیتی و توسط افراد آموزش دیده نوشته میشوند. داده ها نشان می دهد که توسعه دهندگان کمتر احتمال دارد نقص های جدیدی را معرفی کنند.
تیم جارت، معاون مدیریت استراتژیک محصول در Veracode میگوید این تحلیل اهمیت ادغام امنیت در خط لوله توسعه را برجسته میکند.
«دادهها به طور مداوم نشان میدهند که اگر عادت به امنیت در فرآیند خود ایجاد کنید، نتیجه بهتری خواهید داشت، هم از نظر رفع عیوب کلی، و هم .... همچنین سیل ورود چیزها را کند میکنید، و این تفاوت بزرگی ایجاد میکند. ” او می گوید.
در همین حال، شرکتهای نرمافزار و تیمهای توسعه همچنان به مبارزه برای از بین بردن نقصها و آسیبپذیریها از کد برنامه ادامه میدهند. در حالی که توسعه دهندگان و پروژه های متن باز هستند رفع ایرادات نرم افزاری با سرعت بیشتریبر اساس گزارش Veracode «وضعیت امنیت نرمافزار» که در 11 ژانویه منتشر شد، نیمهعمر متوسط آسیبپذیری همچنان در ماهها اندازهگیری میشود، نه روزها یا هفتهها.
برای مثال، برنامههای جاوا و داتنت که 71 درصد از کل برنامههای مورد تجزیه و تحلیل را تشکیل میدهند، نیمی از نقصها را دیدند که به ترتیب پس از 243 روز و 158 روز همچنان بر برنامهها تأثیر میگذارند.
نفخ کاربرد و سن هر دو تأثیر منفی قابل توجهی بر امنیت آنها داشتند. برنامه متوسط حدود 40 درصد کد بیشتری را جمع آوری کرده و احتمال آسیب پذیری بیشتری دارد. حدود 54 درصد از برنامه های دو ساله دارای نقص هستند، در حالی که 69 درصد از برنامه های کاربردی پنج ساله نقص دارند. تجزیه و تحلیل یافت.
امنیت شگفت انگیز جاوا اسکریپت
با کمال تعجب، برنامه هایی که با جاوا اسکریپت یا با استفاده از یکی از چارچوب های جاوا اسکریپت نوشته شده اند، در اسکن آسیب پذیری بهتر عمل می کنند. در حالی که حدود 80 درصد از برنامه های جاوا و دات نت دارای آسیب پذیری بودند، تنها 56 درصد از برنامه های جاوا اسکریپت دارای آسیب پذیری بودند. و در حالی که حدود 20 درصد از برنامه های جاوا و دات نت دارای آسیب پذیری با شدت بالا بودند، کمتر از 10 درصد از برنامه های جاوا اسکریپت آسیب پذیری بالایی داشتند.
جارت میگوید چارچوبهای جاوا اسکریپت جدیدتر هستند، امنیت بیشتری دارند و مزایای یک اکوسیستم منبع باز را دارند که جاوا به تازگی از آن بهره برده است.
او میگوید: «جاوا اسکریپت یک زبان جدیدتر است، بنابراین برنامههایی که در آن نوشته میشوند جدیدتر هستند، و ما در گزارشهای قبلی ارتباطی بین سن برنامه و زمان رفع نقص وجود دارد.» "بسیاری از ابزارهای جاوا اسکریپت بالغ هستند و زبانی است که به خوبی پشتیبانی می شود."
علاوه بر این، در جاوااسکریپت و فریم ورک Node.js، در جاوااسکریپت و فریم ورک Node.js، در جایی که آسیبپذیری در یک برنامه جاوا یک مشکل شخص اول است – که توسعهدهنده را مجبور به رفع مشکلات میکند، آسیبپذیریها اغلب یک مشکل شخص ثالث هستند، زیرا آسیبپذیری در یک مؤلفه رخ داده است. که نرم افزار به آن بستگی دارد.
او میگوید: «روشی که میتوانید یک مشکل امنیتی را در یک برنامه جاوا برطرف کنید، هنوز تا حد زیادی [جایی که] تغییری در فایل کلاس ایجاد میکنید و آن را کامپایل میکنید، است. «در جاوا اسکریپت، بیشتر یک مشکل مدیریت بسته است. و این یک چیز متفاوت برای یک توسعه دهنده است که می تواند آسان تر باشد."
زبان های برنامه نویسی جدید ضعیف می شوند
دادههای این گزارش همچنین تفاوت بین زبانهای برنامهنویسی که توسعهدهندگان در حال یادگیری هستند و زبانهایی که واقعاً در اکثر شرکتها استفاده میشوند را برجسته میکند. زبانها و اکوسیستمهای برتر - جاوا، دات نت و جاوا اسکریپت - که توسط Veracode دیده میشوند، انتخاب توسعهدهندگان برای فناوری برنامهنویسی نیستند.
در حالی که چارچوبهای مبتنی بر جاوا اسکریپت و JS - مانند Node.js، React.js و Angular - بر لیست فناوریهای مورد علاقه توسعهدهندگان تسلط دارند، جاوا یکی از کمپسندترین زبانهای برنامهنویسی است که در مقایسه با ۵۴ درصد از پاسخدهندگان از این زبان میترسند. با توجه به Stack Overflow's، با 54٪ که آن را دوست داشتند نظرسنجی توسعه دهندگان 2022.
با این حال جاوا بر سهم برنامه های اسکن شده توسط مشتریان Veracode (44٪) در مقایسه با 14٪ برای جاوا اسکریپت تسلط داشت.
علاوه بر این، محبوب ترین زبان برنامه نویسی، Rust، حتی در داده های Veracode نشان داده نمی شود، در حالی که شماره 6 توسعه دهندگان، Python، تنها کمتر از 4٪ از برنامه های اسکن شده را تشکیل می دهد.
Jarett از Veracode می گوید بخشی از دلیل قطع ارتباط این است که برنامه های کاربردی ایجاد شده به زبان های برنامه نویسی معتبر نوشته شده اند.
"شما جهان کامل همه کدهایی را دارید که در بیرون وجود دارد، و سپس آن نوع فوم را دارید که روی تاج موج توسعه جدید در حال رخ دادن است، و اینجاست که می بینید مردم در حال برداشتن Go and Rust و Dart هستند. و فلاتر،» او می گوید.
به دلیل انبوه کدهای برنامه های کاربردی نوشته شده به آن زبان ها، این وضعیت احتمالاً تغییر نخواهد کرد.
او میگوید: «متأسفانه برنامههای قدیمی هرگز از بین نمیروند، بنابراین تودههای بحرانی زیادی در شرکتهایی با این پایگاههای کد بزرگ جاوا و پایگاههای کد داتنت وجود دارد.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی به اینجا.
- منبع: https://www.darkreading.com/threat-intelligence/java-net-developers-frequent-vulnerabilities
- 000
- 10
- 11
- a
- درباره ما
- مطابق
- حساب ها
- جمع آوری شده
- واقعا
- اضافه
- پس از
- معرفی
- تحلیل
- و
- گوشه دار
- کاربرد
- امنیت نرم افزار
- برنامه های کاربردی
- برنامه های
- خودکار
- میانگین
- خط مقدم
- زیرا
- بودن
- مزایای
- بهتر
- میان
- بزرگ
- نفخ
- ساختن
- شانس
- تغییر دادن
- انتخاب
- کلاس
- مشتریان
- رمز
- آینده
- شرکت
- مقایسه
- جزء
- ادامه دادن
- ادامه
- ارتباط
- بحرانی
- داده ها
- روز
- بستگی دارد
- توسعه دهنده
- توسعه دهندگان
- پروژه
- DID
- مردن
- تفاوت
- مختلف
- تسلط
- آسان تر
- اکوسیستم
- اکوسیستم
- از بین بردن
- شرکت
- تاسیس
- اتر (ETH)
- حتی
- مثال
- پرونده
- شرکت
- رفع
- نقص
- ناقص
- معایب
- بال بال زدن
- کف
- یافت
- چارچوب
- چارچوب
- مکرر
- از جانب
- کامل
- Go
- نیم
- های لایت
- تاریخ
- HTTPS
- تأثیر
- اهمیت
- in
- ادغام
- معرفی
- معرفی
- موضوع
- مسائل
- IT
- ژان
- جاوه
- جاوا اسکریپت
- نوع
- زبان
- زبان ها
- تا حد زیادی
- یاد گرفتن
- یادگیری
- ترک
- احتمالا
- فهرست
- لیست
- دیگر
- خیلی
- محبوب
- اکثریت
- ساخت
- باعث می شود
- مدیریت
- توده
- بالغ
- حداکثر عرض
- ماه
- ماه
- بیش
- اکثر
- تقریبا
- منفی
- خالص
- جدید
- گره
- Node.js و
- رخ داده است
- قدیمی
- ONE
- باز کن
- منبع باز
- پروژه های متن باز
- به طور کلی
- بسته
- مردم
- خط لوله
- افلاطون
- هوش داده افلاطون
- PlatoData
- رئيس جمهور
- قبلی
- مشکل
- روند
- فرآیندهای
- محصول
- مدیریت تولید
- برنامه نويسي
- زبانهای برنامه نویسی
- پروژه ها
- منتشر شده
- پــایتــون
- واکنش نشان می دهند
- دلیل
- تازه
- نسبتا
- گزارش
- گزارش ها
- زنگ
- تیم امنیت لاتاری
- اشتراک گذاری
- نشان
- نشان می دهد
- قابل توجه
- وضعیت
- کند
- So
- نرم افزار
- امنیت نرم افزار
- منبع
- پشته
- دولت
- هنوز
- استراتژیک
- مبارزه
- مهاجرت تحصیلی
- چنین
- پشتیبانی
- تعجب آور
- تیم ها
- پیشرفته
- قوانین و مقررات
- La
- شان
- چیز
- شخص ثالث
- تیم
- زمان
- به
- بالا
- بالا 10
- جمع
- به طور معمول
- جهان
- استفاده کنید
- معاون رئیس جمهور
- آسیب پذیری ها
- آسیب پذیری
- موج
- هفته
- که
- در حین
- WHO
- اراده
- کتبی
- شما
- زفیرنت