Компания Veracode, специализирующаяся на разработке средств для проведения аудита безопасности, опубликовала результаты сравнения языков программирования в контексте безопасности написанного на них кода. Отчёт подготовлен на основе результатов статического анализа более 130 тысяч приложений.
Проблемы с безопасностью были выявлены в 76% проверенных приложений, при этом у 24% приложений найденные проблемы были отнесены к категории опасных. В каждом третьем приложении большая часть проблем была вызвана использованием стороннего кода и внешних библиотек. В разрезе языков программирования опасные проблемы найдены в 59% проанализированных приложений на языке С++, 52.6% приложений на PHP, 25% — .NET, 23.8% — Java, 9.6% — Python и 8.6% — JavaScript.
При рассмотрении всех ошибок наиболее проблемным оказался код на PHP — чаще всего в приложениях встречается межсайтовый скриптинг (74.6%), проблемы с шифрованием (71.6%), проблемы с выходом за границы базового каталога (64.6%), утечки информации (63.3%), проблемы с инициализацией непроверенными данными (61.7%) и возможность подстановки кода (48%).
В проектах на С++ чаще всего встречаются проблемы, связанные с некорректной обработкой ошибок (66.5%) и работой с буферами (46.8%). В коде на Java лидируют проблемы с подстановкой символа перевода строки (64.4%) и проблемы с качеством кода (54.3%). В приложениях на Python на первое место вынесены проблемы с криптографией (35%) и межсайтовый скриптинг (22.2%). В JavaScript лидируют межсайтовый скриптинг (31.5%) и ошибки при управлении учётными записями (29.6%).
Источник: https://www.opennet.ru/opennews/art.shtml?num=54289