Los peores errores en los principales lenguajes de programación


Un mapa de calor muestra que PHP tiene la mayoría de las fallas seguido de C ++, luego Java, .Web, JavaScript y Python en el informe de seguridad anual de Veracode.

Cerradura de seguridad cibernética. Seguridad informática Protección de Internet de datos con cerradura, llave en microesquema. Ataque de piratas informáticos y violación de datos, concepto de fuga de información.

Getty Photographs / iStockphoto

Veracode ha lanzado el undécimo volumen de su anual Informe sobre el estado de la seguridad del program, y sus hallazgos revelan que las aplicaciones defectuosas son la norma, las bibliotecas de código abierto son cada vez menos confiables y se está tardando mucho en solucionar los problemas.

El informe encontró que un 76% de las aplicaciones contenían fallas y el 24% de las aplicaciones tenían fallas consideradas muy graves. Alrededor del 70% de las aplicaciones heredan fallas de seguridad de sus bibliotecas de código abierto, pero es importante tener en cuenta que solo el 30% de las aplicaciones tienen más errores de seguridad en sus bibliotecas de código abierto que en el código escrito internamente, lo que sugiere que no lo es. t únicamente los proyectos de código abierto que tienen la culpa.

Las bibliotecas de código abierto son una superficie de ataque masiva debido a su ubicuidad, dijo Veracode en el informe. También señaló que no existe una correlación entre la calidad del código interno y los errores de código abierto, y destacó que los desarrolladores deberían verificar la seguridad de las bibliotecas de código abierto sin importar qué tan bueno crean que es su propio código.

VER: Política de protección contra robo de identidad (TechRepublic Premium)

En términos de cómo se resuelven los errores, Veracode descubrió que el 73% de los errores que encontró como parte del informe fueron corregidos, lo cual es una gran mejora con respecto a años anteriores, cuando ese número estaba en el rango medio del 50%. A pesar de esa buena señal, todavía lleva un promedio de seis meses cerrar la mitad de las fallas descubiertas.

En cuanto a los tipos de fallas de seguridad que se encuentran, el informe afirma que los resultados son consistentes con años anteriores.

«En su mayor parte, los principales tipos de fallas se han mantenido bastante constantes a lo largo de los años. El volumen 10 del año pasado descubrió que la fuga de información, los problemas criptográficos, la inyección de CRLF y las fallas en la calidad del código eran los tipos más comunes de fallas encontradas en las aplicaciones. año de investigación, los tres principales no se movieron, y el tercer lugar, &#39problemas criptográficos&#39, también se encuentran en casi dos de cada tres aplicaciones con fallas en este informe «, dijo el informe.

Veracode también lanzó un mapa de calor de los peores errores en los idiomas más populares. Curiosamente, el lenguaje con el menor uso de bibliotecas de código abierto es también el que tiene más errores: PHP.

Al mirar el mapa de calor, es fácil detectar cuál de los cinco idiomas populares incluidos tiene la peor seguridad. Después de PHP está C ++, luego Java, .Web, JavaScript y Python. Los dos últimos lo están haciendo considerablemente mejor que la competencia, y los peores defectos en cada uno solo se encuentran en aproximadamente el 30% de las aplicaciones. En comparación con PHP, con el 74,6% de sus aplicaciones vulnerables a las secuencias de comandos entre sitios, JavaScript y Python son potencias de seguridad.

Independientemente del idioma que elija, es esencial implementar las mejores prácticas, que Veracode describe en el informe como «naturaleza versus crianza». En esencia, la naturaleza de las aplicaciones son elementos sobre ellas que no se pueden controlar, mientras que los aspectos de crianza son aquellos que se pueden controlar.

VER: Ingeniería social: una hoja de trucos para profesionales de negocios (PDF gratuito) (TechRepublic)

«Incluso si el desarrollador ha heredado una aplicación antigua y gigantesca con un montón de deuda de seguridad, y no queda nadie que recuerde por qué algunas cosas se codificaron de esa manera, corregir fallas y agregar nuevas funciones no tiene por qué seguir siendo difícil» decía el informe.

«Hemos analizado el efecto de la naturaleza y la crianza en la seguridad de nuestras aplicaciones. Descubrimos que la crianza, nuestras decisiones y acciones, pueden superar y mejorar la naturaleza de la aplicación y el entorno», concluyó Veracode.

Ver también



Enlace a la noticia initial