C dili en ciddi güvenlik açıklarına sahiptir ve PHP en savunmasız olanıdır.Programcılar nasıl kod yazmalıdır?
[CSDN Editörün Notu] Programlama dillerinin güvenliği konusunda, en eski programlama dili olan C, hala en açık kaynak güvenlik açıklarına sahip olanıdır, ancak PHP en çok değişti.PHP saldırılara karşı neden daha savunmasız?
Yazar | Michael Hollander
Çevirmen | Crescent Moon, Sorumlu Editör | Tang Xiaoyin
Baş resmi | Oriental IC'den indirilen CSDN
Üretildi | CSDN (ID: CSDNnews)
Aşağıdaki çeviridir:
Açık kaynak güvenlik açıkları bir kez daha artan bir eğilim göstermiştir.
2017'den bu yana, topluluk tarafından bildirilen açık kaynak güvenlik açıklarının sayısında hızlı bir artış gördük. Geçen yıl bir istisna değildi. WhiteSource'un "Açık Kaynak Güvenlik Açıklarının Durumu" raporu, 2019'da toplam 6.100 güvenlik açığının ve 2018'de 4.100 güvenlik açığının rapor edildiğini tespit etti.
İki yıl arasında% 50'ye varan artış oranı kendi içinde manşetlere girebilir. Rapor ayrıca hangi dillerin en çok açık kaynak güvenlik açıklarına sahip olduğunu, her bir dilde en yaygın güvenlik açıklarının neler olduğunu ve bu sonuçların yazılım geliştirme topluluğunun uygulamaları nasıl oluşturduğuna ilişkin sonuçlarını analiz etti.
2019'da her dilde en ciddi açık kaynak çapraz site komut dosyası
2019'da yayınlanan açık kaynaklı güvenlik açıkları arasında Siteler arası komut dosyası çalıştırma (XSS), tüm en iyi programlama dillerinde neredeyse en yaygın güvenlik açığı türüdür.
Yukarıdaki programlama dilleri arasında en ciddi olanı, C dilindeki (CWE-119) arabellek hatasıdır ve ikinci sırada yanlış giriş doğrulaması (CWE-20) ile güvenlik açığıdır.
Bu veriler sayesinde, yazılım geliştirme topluluğu ile ilgili yaygın sorunları görebiliriz. Spesifik olarak, bu güvenlik açıklarının çoğu, geliştiricilerin kullanıcıların gerçekleştirebileceği işlemleri düzgün bir şekilde kısıtlamamasından ve dolayısıyla Web uygulamalarının güvenliğini zayıflatmasından kaynaklanmaktadır.
Çoğu durumda, bu güvenlik açıklarına yetersiz programlama neden olur. Bu güvenlik açıkları, temel kodlama standartlarına dikkat etmenin güvenlik için çok önemli olduğunu göstermektedir.
Her dilde yayınlanan açık kaynak güvenlik açıklarının oranı
Raporun tamamından, bu popüler dillerdeki açık kaynak güvenlik açıklarının dağılımı geçen yıl değişti.
C hala en açık kaynak güvenlik açıklarına sahip dil olmasına rağmen (% 30), bunun nedeni C'nin en eski dillerden biri olması ve hala bazı çok popüler açık kaynak projeleri kullanıyoruz. C dilinden hoşlansanız da nefret etseniz de, başka hiçbir dilin C'de yazılmış büyük miktarda kodla rekabet edemeyeceğini inkar etmek mümkün değildir.
Bununla birlikte, şaşırtıcı olan şey, PHP'nin 2009'daki açık kaynak kod güvenlik açıklarının% 15'inden 2019'da% 27'ye en çok değişmesidir. İki soruyu düşünmeden edemeyiz: Birincisi, PHP'nin saldırılara karşı daha savunmasız olmasının nedeni nedir? İkincisi, insanlar hala gerçekten PHP kullanıyor mu?
Eylül 2019'daki TIOBE indeks raporuna göre PHP, kullanım kolaylığı nedeniyle sınırlı yazılım geliştirme becerisine sahip web tasarımcıları arasında popüler, bu nedenle PHP giderek daha popüler hale geldi. Dil, güvenlik için kullanım kolaylığını değiştiriyor gibi görünüyor ve şimdi topluluk güvenlik açıklarını bulmada daha iyi hale geliyor, bu nedenle bu uzlaşma yakında bir sorun haline gelecektir.
WordPress gibi popüler uygulamalar hala PHP kullanıyor, ancak bu uygulamaların popülaritesi yakında azalacak. Başka bir deyişle, trend, PHP kullanımının azaldığını ve şimdi geliştiricilerin Python gibi daha popüler dilleri kullanma eğiliminde olduğunu gösteriyor.Son birkaç yılda, dil listenin en üstünde yer aldı ve Python dilinin güvenlik açığı oranı korundu. Daha düşük bir seviyede.
Binlerce insan açık kaynak güvenliğine odaklanıyor
Üçüncü soru, bugün neden PHP güvenlik açıklarında bir artış gördüğümüzdür. Söylediğim cevap doğrulanmamış olsa da, açık kaynak ve uygulama geliştirme trendine belirli bir açıdan bakabiliriz.
Daha fazla açık kaynak kodunun ortaya çıkmasıyla, açık kaynak topluluğu da giderek daha fazla ilgi gördü. Daha fazla güvenlik açığının bulunmasına yardımcı olmak için otomatik araçların kullanımını artırmayı da düşüneceğiz, böylece daha fazla hata keşfedilecek, düzeltilecek ve serbest bırakılacaktır. Açık kaynak güvenlik açıklarını GitHub Güvenlik Laboratuvarı aracılığıyla doğrudan bildirmek çok uygun olduğundan, özellikle büyük bir kod tabanına sahip olan ancak daha önce titizlikle incelenmemiş olan diller için yayınlanan güvenlik açıklarının sayısı artmaya devam edecektir.
PHP, WordPress ve Drupal gibi açık kaynaklı projelerde yoğun bir şekilde kullanıldığından, halen kullanımda olan birçok PHP projesi bulunmaktadır. Araştırmacılar bu projeleri gözden geçiriyorlar ve kodda bildirilmemiş güvenlik açıkları olabileceğini keşfettiler.
İleriye giden yol, daha iyi programlama uygulamalarıdır
Esasen, güvenlik açıkları, uygulamalara ve verilerine zarar verebilecek hatalardır. Programlama hataları verinin erişilebilirliğini, bütünlüğünü veya gizliliğini tehdit ettiğinde, güvenlik açıkları alanına girerler. Çoğu durumda, bu güvenlik açıkları yalnızca bazı insan hatalarıdır. İnsanlar kod yazmaya devam ettiği sürece hatalar ortaya çıkacak ve projelerimizde güvenlik açıkları ortaya çıkacaktır.
Bu nedenle sorumuz, kullanılan yazılımdaki güvenlik açıklarının nasıl yönetileceğidir. Her şeyden önce, en önemli şey, güvenli programlama için en iyi uygulamaları takip etmemiz gerektiğidir. Yeterince katı olmadığı için birinin kodunu eleştirmek kolay olsa da, eleştiri yeterli değil, kendimizi de geliştirmemiz gerekiyor.
En iyi programlama uygulamalarına ek olarak, dağıtımdan hemen önce değil, koddaki güvenlik açıklarını da kontrol etmemiz gerekir. Çekirdek uygulama bağımlılıkların üzerine inşa edildi, ancak bazı ciddi güvenlik açıkları bulundu.Bu çok acı verici bir şey.Kodun bu kısmını gözyaşları içinde yeniden yazmalısın. Yazılım geliştirme yaşam döngüsünün çeşitli aşamalarında hataları test etmenin önemini anlıyorsanız, sizi ve kullanıcıları riske atabilecek güvenlik açıklarını kontrol etmenin de aynı derecede önemli olduğunu anlamalısınız.
İngilizce: Bir Programlama Dili Diğerlerinden Daha Güvenli mi?
Bağlantı: https://dzone.com/articles/is-one-programming-language-more-secure
Yazar: Michael Hollander
Çevirmen: Crescent Moon
Bu makale bir CSDN çevirisidir, lütfen yeniden basımın kaynağını belirtin.
"Milyonlarca Kişi Yapay Zekayı Öğreniyor" un önemli bir parçası olarak, 2020 AIProCon Geliştiriciler Konferansı 26 Haziran'da çevrimiçi olarak yayınlanacak ve geliştiricilerin mevcut sınır teknolojisi araştırmaları ve yapay zekanın temel teknolojileri hakkında tek noktadan bilgi edinmelerine olanak tanıyor. Uygulamalar ve kurumsal vakalardaki pratik deneyimle, heyecan verici ve çeşitli geliştirici salonlarına ve programlama projelerine çevrimiçi olarak da katılabilirsiniz. Bir dizi ileriye dönük aktiviteye ve çevrimiçi canlı yayın etkileşimlerine katılın. Yalnızca on binlerce geliştiriciyle iletişim kurmakla kalmaz, aynı zamanda özel canlı yayın hediyeleri kazanma ve teknik uzmanlarla bağlantı kurma fırsatına da sahip olursunuz.
Yorum alanında seçilirseniz, 299 yuan değerinde "2020 AI Geliştiriciler Konferansı" için çevrimiçi canlı bir bilet alacaksınız. Parmaklarınızı hareket ettirin ve söylemek istediklerinizi yazın!
Microsoft bir kişi için bir şirket mi satın alıyor? Sony programlarını kırın, hacker romanları yazın ve sağlam program hayatını izleyin!
Çin insansız hava aracı "Old Paoer" ın anıları
4 yılda 46 sürüm, Spring Cloud'un geliştirme geçmişini anlamak için bir makale
Jingdong Mall'un arkasındaki yapay zeka teknolojisinin sırrı - anahtar kelimelere dayalı otomatik özet oluşturma
İnternetin babası yeni tacı teşhis etti, bir efsane: Google'ın başkan yardımcısı ve NASA'da misafir bilim insanı olarak görev yaptı
Hiç bu kadar kolay olmamıştı: Kafka'ya karşı saldırmanız için sizi 10 dakika alacak!
Programcılar kodun olmadığı bir çağda işlerini nasıl koruyabilirler?
