En güvenli programlama dili kimdir? !
Yakın zamanda, açık kaynak güvenlik şirketi WhiteSource, programlama dillerinin güvenliği hakkında bir rapor hazırladı ve bu rapor yeni bir soruyu gündeme getirdi: "En güvenli programlama dili hangisidir?"
Programlama dili anlaşmazlığı, geliştirici topluluğunda her zaman hararetle tartışılan bir konu olmuştur, ancak tartışma sürecine genellikle her iki tarafın öfkesi ve uyumun bozulması eşlik eder. Birçok geliştirici, kullandıkları programlama dilinin baskın olduğunu kanıtlamayı sever ve bu süreçte genellikle güvenlikten bahsedilir.
Yakın zamanda WhiteSource yedi popüler programlama dilinin güvenliği hakkında yıllık bir rapor hazırladı. Rapor, Ulusal Güvenlik Açığı Veritabanı (NVD), güvenlik bültenleri, GitHub sorun izleyici (Sorun İzleyici) ve popüler açık kaynaklı proje sorunu izleyici gibi birden çok kaynaktan açık kaynaklı güvenlik açığı bilgilerini bir araya getirir.
WhiteSource, son birkaç yılda açık kaynak topluluğu tarafından kullanılan bazı popüler dillere dayalı olarak yedi popüler programlama dili belirledi: C, Java, JavaScript, Python, Ruby, PHP ve C ++ .
WhiteSource, bu programlama dilleri temelinde, son on yılda her bir dilde bilinen açık kaynak güvenlik açıklarının sayısını, bu güvenlik açıklarındaki zaman içindeki değişiklikleri ve en yaygın CWE'yi (Common Zayıflık Sayımı, ortak kusur listesi).
Rapor, son 10 yılda farklı dillerdeki açık kaynak güvenlik açıklarının toplam sayısını göstermektedir.İlk programlama dilinin, oranın neredeyse yarısını oluşturan C dili olduğu açıktır.
Ancak bu, C dilinin güvenliğinin diğer popüler dillerden çok daha düşük olduğu anlamına gelmez. Bu kadar yüksek bir oranı birkaç faktör açıklayabilir:
- İlk olarak, C dilinin kullanım süresi anket dilleri arasında en uzun olanıdır;
- İkincisi, C dilinde yazılmış büyük miktarda koddur;
- Üçüncüsü, Open SSL ve Linux çekirdeği gibi altyapının arkasındaki ana dillerden biri C dilidir.
Zaman, boyut ve merkezilik gibi bu faktörlerin birleşimi, C dilinin neden bu kadar çok bilinen açık kaynak güvenlik açıklarına sahip olduğunu açıklayabilir.
Rapor ayrıca, zaman içinde farklı programlama dillerindeki açık kaynak güvenlik açıklarının sayısındaki değişikliği de gösterir.
Son on yılda, kendi yüksek ve alçak seviyelerine sahipler, ancak tüm dillerin belirgin bir eğilimi var. Tüm dillerde bilinen güvenlik açıklarının sayısı son iki yılda önemli ölçüde arttı . Bu, güvenlik açıklarına ilişkin farkındalığın artması ve açık kaynakların popülaritesinin artması olarak görülebilir. Açık kaynak güvenlik araştırmalarına yatırılan kaynakların artmasıyla, insanlar tarafından keşfedilen güvenlik sorunlarının sayısı da artacaktır.
Bu güvenlik açıklarının ciddiyeti nedir? Araştırmacılar, yüksek önem derecesine sahip açık kaynak güvenlik açıklarını (CVSS v2 puanı 7'den yüksek) incelediklerinde, JavaScript ve PHP dışında, raporda ele alınan çoğu dilde ciddi güvenlik açıklarının oranı düşüş eğilimindedir .
Bu, otomatik araçlar kullanan güvenlik araştırmacılarının bir sonucu olabilir. Bu araçların yardımıyla, çoğu dilde orta dereceli güvenlik açıklarının sayısı son birkaç yılda artmış olsa da, bu araçlar genellikle karmaşık ve ciddi güvenlik sorunlarını tespit edemiyor.
Araştırmacılar ayrıca her dilde ortak CWE'leri inceledi. Bunlar arasında, siteler arası komut dosyası çalıştırma saldırıları (XSS, CWE-79 olarak da bilinir) ve giriş doğrulama (CWE-20 olarak da bilinir) en yaygın konumları işgal eder. Diğer önemli CWE'ler arasında bilgi sızıntısı (CWE-200), yol geçişi (CWE-22), yetki ve erişim kontrolü (CWE-264) ve uygun olmayan erişim kontrolü (CWE-284) bulunur.
"Programlama dilim senden daha güvenli." Benzer konular zaman öldürmenin ilginç bir yolu olabilir. Hangi programlama dilinin en güvenli olduğu konusundaki tartışmalar genellikle bazı ilginç noktaları ortaya çıkarır ve son cevabı bulmak, yenilikçi ve güvenli bir yazılım oluşturmanıza yardımcı olmayabilir.
Günümüzde çoğu yazılım geliştirme, tek bir programlama diline bağlı kalmak yerine birden çok programlama dilini elde etmeye dayanmaktadır. Bilinen açık kaynak güvenlik açıklarında uzmanlaşmak ve ekibin kullandığı programlama dilinin avantajlarını ve dezavantajlarını anlamak, yazılım projesinin başından itibaren güvenli olmasını sağlamanın iyi yollarıdır.
En güvenli programlama dilinde nihai kazanan yoktur. WhiteSource'un araştırmadan çıkardığı son sonuç, bir programlama dilinin güvenliğinin dilin kendisiyle ilgili olmadığı, kullanıcıların onu kullanma şekline bağlı olduğudur. Geliştirme ekibi, projenin güvenliğini sağlamak için iyi bir seçim olan tüm SDLC'nin (sistem yaşam döngüsü) güvenlik açıklarını azaltmak için uygun yönetim yöntemlerini kullandı.
Bu makale, yazar paragraf paragraf paragrafı olan Açık Kaynak Çin'den (ID: oschina2013) aktarılmaya yetkilidir.
