Понад три чверті додатків, написаних на Java та .NET, мають принаймні одну вразливість із топ-10 OWASP, списку слабких місць програмного забезпечення, які розробники зазвичай використовують як основу для безпеки додатків.
Це згідно з даними фірми з тестування програмного забезпечення Veracode, яка в результаті аналізу майже 760,000 XNUMX програм виявила, що приблизно кожна п’ята програма, яка використовує ці дві екосистеми програмування, мала принаймні одну вразливість високого або критичного рівня.
Загалом середня програма мала 27% шансів мати принаймні одну вразливість щомісяця, причому погано написані програми та програми, які рідко скануються, ймовірно, будуть більш несправними, тоді як програми з більшою історією процесів безпеки та написані добре навченими Дані показали, що розробники менш схильні вводити нові недоліки.
Аналіз підкреслює важливість інтеграції безпеки в процес розробки, каже Тім Джаретт, віце-президент зі стратегічного управління продуктами Veracode.
«Дані незмінно показують, що якщо ви створите звичку безпеки у свій процес, ви отримаєте кращий результат як у виправленні загальних недоліків, так і ... ви також сповільните потік речей, що надходять, і це має велике значення, " він каже.
Тим часом компанії-розробники програмного забезпечення та групи розробників продовжують боротися за усунення дефектів і вразливостей у програмному коді. У той час як розробники та проекти з відкритим кодом є швидше виправляти недоліки програмного забезпечення, відповідно до звіту Veracode «Стан безпеки програмного забезпечення», опублікованого 11 січня, період напіврозпаду середньої вразливості продовжує вимірюватися місяцями, а не днями чи тижнями.
Наприклад, у програмах Java та .NET, на частку яких припадає 71% від загальної кількості програм, проаналізованих у дослідженні, половина недоліків все ще впливала на програми через 243 дні та 158 днів відповідно.
Завантаженість програм і вік мали значний негативний вплив на їх безпеку. Середня програма накопичила приблизно на 40% більше коду та, ймовірно, матиме вразливості. Близько 54% заявок дворічної давності мають недоліки, тоді як 69% заявок п’ятирічної давності мають недоліки, виявив аналіз.
Дивовижна безпека JavaScript
Дивно, але програми, написані на JavaScript або які використовують одну з фреймворків JavaScript, як правило, краще показують результати сканування вразливостей. У той час як близько 80% програм Java і .NET мали вразливість, лише 56% програм JavaScript були уразливі. І хоча приблизно 20% додатків Java і .NET мали вразливість високого рівня, у додатках JavaScript – менше 10%.
Фреймворки JavaScript є новішими, мають більший рівень безпеки та переваги екосистеми з відкритим вихідним кодом, від якої Java лише відносно недавно скористалася, каже Джарет.
«JavaScript — це нова мова, тому додатки, написані на ній [є] новішими, і існує кореляція, яку ми встановили в попередніх звітах між віком програми та часом усунення недоліків», — каже він. «Багато інструментів для JavaScript [є] зрілими, і це добре підтримувана мова».
Крім того, якщо уразливість у додатку Java є проблемою першої сторони, залишаючи розробнику вирішувати проблеми, у JavaScript і фреймворку Node.js уразливості часто є проблемою третьої сторони, оскільки вразливість виникла в компоненті від якого залежить програмне забезпечення.
«Спосіб вирішення проблеми безпеки в Java-додатку все ще полягає в тому, що ви вносите зміни у файл класу та компілюєте його», — каже він. «У додатку JavaScript це більше проблема керування пакетами. І це інша справа для розробника, чому може бути легше».
Нові мови програмування занепадають
Дані звіту також підкреслюють різницю між мовами програмування, які вивчають розробники, і мовами, які фактично використовуються на більшості підприємств. Найкращі мови та екосистеми — Java, .NET і JavaScript — які бачить Veracode, не є вибором розробників технології програмування.
Хоча фреймворки на основі JavaScript і JS, такі як Node.js, React.js і Angular, домінують у списках технологій, яким надають перевагу розробники, Java є однією з найменш популярних мов програмування: 54% респондентів бояться цієї мови, порівняно за даними Stack Overflow, 46% тих, кому це сподобалося Опитування розробників 2022 року.
І все ж Java домінувала в частці програм, сканованих клієнтами Veracode (44%) порівняно з 14% для JavaScript.
Крім того, найулюбленіша мова програмування, Rust, навіть не відображається в даних Veracode, тоді як на 6 розробників, Python, припадає лише менше 4% сканованих програм.
Частково причиною розриву є те, що встановлені програми написані на усталених мовах програмування, каже Джарретт з Veracode.
«У вас є повний всесвіт усього коду, який є там, а потім у вас є піна на гребені хвилі нової розробки, і саме тут ви бачите, як люди підбирають Go, Rust і Dart і Флаттер, — каже він.
Через агреговані кодові бази програм, написаних цими мовами, ця ситуація, ймовірно, не зміниться.
«На жаль, старі програми ніколи не вмирають, тому на підприємствах з цими великими кодовими базами Java та .NET є багато критичної маси», — каже він.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
- джерело: https://www.darkreading.com/threat-intelligence/java-net-developers-frequent-vulnerabilities
- 000
- 10
- 11
- a
- МЕНЮ
- За
- Рахунки
- Накопичений
- насправді
- доповнення
- після
- ВСІ
- аналіз
- та
- Angular
- додаток
- захист додатків
- застосування
- додатка
- автоматичний
- середній
- Базова лінія
- оскільки
- буття
- Переваги
- Краще
- між
- Великий
- Здуття
- будувати
- шанс
- зміна
- вибір
- клас
- клієнтів
- код
- майбутній
- Компанії
- порівняний
- компонент
- продовжувати
- триває
- Кореляція
- критичний
- дані
- Днів
- залежить
- Розробник
- розробників
- розробка
- DID
- Померти
- різниця
- різний
- домінувати
- легше
- екосистема
- екосистеми
- усунутий
- підприємств
- встановлений
- Ефір (ETH)
- Навіть
- приклад
- філе
- Фірма
- виправляти
- недолік
- недоліки
- недоліки
- трепетить
- Піна
- знайдений
- Рамки
- каркаси
- частий
- від
- Повний
- Go
- Половина
- основний момент
- історія
- HTTPS
- Impact
- значення
- in
- Інтеграція
- вводити
- введені
- питання
- питання
- IT
- січень
- Java
- JavaScript
- Дитина
- мова
- мови
- в значній мірі
- УЧИТЬСЯ
- вивчення
- догляд
- Ймовірно
- список
- списки
- довше
- серія
- улюблене
- Більшість
- зробити
- РОБОТИ
- управління
- Маса
- зрілий
- макс-ширина
- місяць
- місяців
- більше
- найбільш
- майже
- негативний
- мережу
- Нові
- вузол
- Node.js
- сталося
- Старий
- ONE
- відкрити
- з відкритим вихідним кодом
- проекти з відкритим кодом
- загальний
- пакет
- Люди
- трубопровід
- plato
- Інформація про дані Платона
- PlatoData
- президент
- попередній
- Проблема
- процес
- процеси
- Product
- Управління продуктом
- Програмування
- мови програмування
- проектів
- опублікований
- Python
- Реагувати
- причина
- нещодавно
- щодо
- звітом
- Звіти
- Іржа
- безпеку
- Поділитись
- Показувати
- Шоу
- значний
- ситуація
- сповільнювати
- So
- Софтвер
- безпека програмного забезпечення
- Source
- стек
- стан
- Як і раніше
- Стратегічний
- боротьба
- Вивчення
- такі
- Підтриманий
- дивно
- команди
- Технологія
- terms
- Команда
- їх
- річ
- третя сторона
- Тім
- час
- до
- топ
- Кращі 10
- Усього:
- типово
- Всесвіт
- використання
- Віцепрезидент
- Уразливості
- вразливість
- хвиля
- тижня
- який
- в той час як
- ВООЗ
- волі
- письмовий
- вашу
- зефірнет