[Nota del editor] RDCC en lenguaje de programación de seguridad, como los lenguajes de programación más antiguos, C sigue siendo una de las mayores vulnerabilidades de código abierto, pero PHP tiene el cambio más grande, ¿por qué PHP es más vulnerable a ataques?
Autor | Michael Hollander
Traductor | menisco, Zebian | plomo TANG
Cabeza Figura | RDCC descarga de IC del Este
Exposición | RDCC (ID: CSDNnews)
La siguiente es la traducción:
la vulnerabilidad de código abierto apareció de nuevo en aumento.
Desde 2017, hemos visto un rápido aumento en el número de lagunas en el informe de la comunidad de código abierto. El último año no fue la excepción, WhiteSource del informe "vulnerabilidad de código abierto", encontró que en 2019 se registraron un total de 6.100 vulnerabilidades, y en 2018 reportó 4.100 vulnerabilidades.
La tasa de aumento entre los dos años hasta el 50% en sí mismo puede ser más que los titulares. El informe también analiza el lenguaje que la mayoría de vulnerabilidades de código abierto ¿Cuáles son las vulnerabilidades comunes la mayoría en cada idioma, así como los resultados para la comunidad de desarrollo de software a la forma en aplicaciones de construcción revelación.
2019 cada idioma más grave de código abierto de cross-site scripting
En 2019 la liberación de las vulnerabilidades de código abierto, XSS (Cross-site scripting, a saber XSS) casi todo el lenguaje de programación superior, el tipo más común de vulnerabilidad.
En el lenguaje de programación, lo más grave es el error se produce búfer lenguaje C (CWE-119), y con la validación de entrada incorrecta (CWE-20) ocupa el segundo lugar de la vulnerabilidad.
Con estos datos, podemos ver las preguntas más frecuentes relacionadas con la comunidad de desarrollo de software. En concreto, muchos de los cuales se deben a los desarrolladores vacíos legales no tienen usuario puede hacer las restricciones apropiadas causados, y así socavar la seguridad de las aplicaciones Web.
En la mayoría de los casos, la causa de estas vulnerabilidades están programados no lo suficientemente estricta. Estas vulnerabilidades sugieren que la atención a las normas de codificación básicas es fundamental para la seguridad.
Cada versión de idioma de la relación de la vulnerabilidad de código abierto
Desde el punto de vista de todo el informe, en el último año, estos lenguajes populares en la distribución de las vulnerabilidades de seguridad de código abierto varían.
Aunque el lenguaje C sigue siendo la vulnerabilidad de código abierto mayoría (30%), pero esto se debe a que C es una de la lengua más antigua, que todavía utilizan algunos de los proyectos de código abierto muy popular. Ya sea que nos guste o lenguaje C odio, sin lugar a dudas, sin una gran cantidad de código se puede escribir en otros idiomas competir con C.
Sin embargo, lo que resulta desconcertante es el mayor cambio en PHP, del 15% en el año 2009 la vulnerabilidad de código abierto del camino hasta un 27% en 2019. No se puede dejar de empezar a pensar en dos preguntas: Primero, ¿cuál es la razón, PHP es más vulnerable a ataques? En segundo lugar, todavía es muy usar PHP?
De acuerdo con TIOBE Índice de septiembre 2019 de, PHP, debido a su facilidad de uso y diseñadores Web de desarrollo de software fuerza de la tecnología ampliamente limitados bienvenida, por lo que PHP cada vez más popular. El lenguaje parece ser un intercambio de seguridad con su facilidad de uso, y ahora la comunidad cada vez más expertos en la detección de vulnerabilidades, por lo que esta pausa en el programa pronto será un problema.
WordPress y otras aplicaciones populares siguen utilizando PHP, pero la popularidad de estas aplicaciones caerá pronto. En otras palabras, muestra la tendencia de que, el uso de PHP está disminuyendo, y ahora los desarrolladores tienden a utilizar los lenguajes más populares, tales como Python, en los últimos años, el lenguaje ha encabezado la lista, pero la incidencia de la vulnerabilidad lenguaje Python se ha mantenido a un nivel inferior.
Miles de personas se concentran seguridad de código abierto
La tercera pregunta es por eso que ahora vemos un aumento en las vulnerabilidades PHP. A pesar de que dijo que la respuesta no está probado, pero de alguna manera podemos observar las tendencias y el desarrollo de aplicaciones de código abierto.
Con la llegada de código fuente más abierta, la comunidad de código abierto también ha sido cada vez más la atención de la gente. También consideramos que a través del incremento en el uso de herramientas automatizadas para ayudar a encontrar más vulnerabilidades, por lo que se encuentra, correcciones de errores y liberar más y más. Como señala un informe directo vulnerabilidades de seguridad de código abierto muy convenientes por GitHub Laboratorio de Seguridad, por lo que el número de vulnerabilidades publicadas seguirá aumentando, sobre todo con una gran base de código, pero no podría haber sido el lenguaje del escrutinio.
Desde WordPress y Drupal y otros proyectos de código abierto extenso uso de PHP, por lo que hay una gran cantidad de proyectos PHP está en uso. Los investigadores están estudiando estos proyectos, y descubrieron vulnerabilidad podría no ha sido reportado código.
El camino a seguir es mejor práctica de programación
En esencia, la falla de seguridad es que algunos errores, lo que puede dar lugar a la aplicación y destruido sus datos. Cuando los errores de programación amenazan con accesibilidad a los datos, la integridad o la confidencialidad, pertenece al campo de las vulnerabilidades de seguridad. En la mayoría de los casos, estas vulnerabilidades son sólo algunos errores humanos. Mientras los seres humanos continúan código de escritura, se produce un error, habrá lagunas en nuestro proyecto.
Por lo tanto, nuestro problema es cómo manejar el uso de vulnerabilidades de software. En primer lugar, y lo más importante, tenemos que seguir las mejores prácticas para la programación segura. A pesar de que el código no es lo suficientemente precisa de las críticas muy simple de alguien, pero sólo la crítica no es suficiente, también tenemos que actualizar a sí mismos.
Además de seguir mejor programación práctica, también tenemos que controlar las vulnerabilidades de código, no sólo antes del despliegue. La dependencia de la construcción de una aplicación central, pero se encontró que hay algunos defectos graves, esto es una cosa muy dolorosa, tiene hasta las lágrimas en silencio volver a escribir el código. Si usted entiende las diversas etapas de la prueba el error ciclo de vida de desarrollo de software de importancia, a continuación, usted debe entender que los controles puedan ser colocados y las vulnerabilidades de seguridad de usuario en peligro igualmente importante.
英文: ¿Es un lenguaje de programación más seguro que el resto?
Link: https: //dzone.com/articles/is-one-programming-language-more-secure
Autor: Michael Hollander
Traductor: menisco
Esta traducción RDCC artículo, por favor indique la fuente de la fuente.
【FIN】
Como parte importante "de millones de personas aprender AI" está, 2020 AIProCon Conferencia de Desarrolladores estará millones en junio 26 formularios en línea en vivo, por lo que los desarrolladores una ventanilla para aprender sobre la tecnología actual investigación de vanguardia AI, la tecnología de núcleo y aplicaciones, así como la experiencia práctica en el caso de negocios, pero también pueden participar en una variedad de emocionantes desarrolladores en línea Sharon y proyectos de programación. Serie A involucradas potenciales de las actividades, la interacción en línea en vivo, no sólo se pueden comunicar con decenas de miles de desarrolladores, así como la oportunidad de ganar regalos exclusivas en vivo, café e incluso grandes trigo tecnología.
Comentarios se seleccionó libro de invitados, obtener el valor de 299 yuanes, "2.020 millones de personas desarrolladores AI congreso" billete en línea en vivo. Ven yemas de los dedos, escribe lo que quiere decir que!
lectura recomendada
☞ adquisición de una empresa de Microsoft es una persona? programa de Sony para crack, los piratas informáticos escribir novelas, observando su vida robusto programa!
☞ UAV china Memorias "viejo cañón niño"
☞ 4 años 46 edición, el artículo se lee la historia de la nube de Primavera
☞ capacidades técnicas de IA Jingdong Mall, detrás Secreto - basan en palabras clave de resumen generada automáticamente
☞ padre de Internet confirmó la nueva corona, legendaria: ya sea vicepresidente de Google, el acceso científicos de la NASA
☞ nunca ha sido más fácil: contragolpe a 10 minutos Kafka!
☞ no era de código, el programador cómo mantener sus puestos de trabajo?
