RSSおすすめ記事です

スポンサーリンク

脆弱性が多いプログラミング言語、第2位はPHP – 第1位は?

ニュースセキュリティ, プログラム

セキュリティ

スポンサーリンク

1: 名無しのシステムエンジニアさん 2019/03/26(火) 23:09:23.80 ID:CAP_USER

WhiteSource Softwareは3月19日(米国時間)、「Is One Programming Language More Secure Than The Rest?」において、過去の脆弱性情報を集計し、どのプログラミング言語がより多くの脆弱性とかかわりを持っていたのかについて伝えた。

脆弱性情報が多い順にまとめたプログラミング言語ランキングとしては、以下が報告されている。

C言語 (47%)
PHP (17%)
Java (12%)
JavaScript (11%)
Python (6%)
C++ (6%)
Ruby (5%)

データソースはNVD (National Vulnerability Database)、各種セキュリティアドバイザリ、GitHub、そのほか人気の高いトラッキングシステムなどで集計された脆弱性情報など。対象のプログラミング言語は、過去数年間にオープンソースコミュニティで使われたプログラミング言語の中から特に人気の高いものが選択されている。

記事では、関連する脆弱性が多いからといって必ずしもそのプログラミング言語がセキュリティに対して脆弱ということを意味するわけではないと説明。例えば、C言語のシェアは50%近いが、これは長期にわたって使われていること、インフラストラクチャを構成するソフトウェアに使われており注目度が高いことなども関係しているという。
https://news.mynavi.jp/article/20190326-795188/

2: 名無しのシステムエンジニアさん 2019/03/26(火) 23:12:44.25 ID:lDgvFqlu
弱酸性に見えた俺は少し残業し過ぎかもしれない

 

3: 名無しのシステムエンジニアさん 2019/03/26(火) 23:16:02.77 ID:w8tC9gkl
き、脆弱性

 

4: 名無しのシステムエンジニアさん 2019/03/26(火) 23:16:20.87 ID:eXDPA1cG
脆弱性がない=単に制限が多いってだけじゃないの?

 

5: 名無しのシステムエンジニアさん 2019/03/26(火) 23:22:19.33 ID:FRVSUi6T
PHPとか、よりマクロ的なヤツのほうが
そりゃ誰かのプログラムを呼ぶだけなんだから、
中学生が作ったC言語プログラムよりはマシだろうよ。

 

8: 名無しのシステムエンジニアさん 2019/03/26(火) 23:25:04.87 ID:UJrYppwo
年間脆弱性6000件中3000件はPHP関連だけどな

 

9: 名無しのシステムエンジニアさん 2019/03/26(火) 23:28:07.83 ID:tBfk0RU2
全ての道具は刃物

 

10: 名無しのシステムエンジニアさん 2019/03/26(火) 23:30:32.93 ID:YEGx3hn0
言語に脆弱性があるんじゃなくて、その開発環境やライブラリってことだろうな
ただ一つだけ言えるのはフリーのものは総じて対応が遅いし、アホみたいな問題が発生することが多い

 

12: 名無しのシステムエンジニアさん 2019/03/26(火) 23:34:03.62 ID:O4iPbBKE
>>10
そうは言っても、Cは普通にガバガバだろ

 

34: 名無しのシステムエンジニアさん 2019/03/27(水) 00:44:21.82 ID:lW8+/A69
>>10
Cをやってるやつらが脆弱性の塊ってことだろうな。
むりするなよ。できないこともあるから。

 

14: 名無しのシステムエンジニアさん 2019/03/26(火) 23:36:14.95 ID:kjHe0z6f
cにphpにjavaか。。
実務でシェアでっかい奴ばっかじゃん

 

17: 名無しのシステムエンジニアさん 2019/03/26(火) 23:40:46.42 ID:5jFmvigU
>>14
ほんとにそう。
シェアが高けりゃ脆弱性の報告も多いのは当たり前で、言語由来の脆弱性があるとかいう資料じゃないのが本当に意味不明。
言語の人気ランキングと何が違うんだ?

 

15: 名無しのシステムエンジニアさん 2019/03/26(火) 23:36:37.80 ID:WFvN3MKb
といってもC以外の言語を駆動するインタープリタやVMはCで書かれてるわけで。
実行環境や言語仕様の安全性で言えばたぶん Java がベストなんだろうけれど
アプリケーションプログラムの品質で言えばたぶん Java がワーストだろうなぁ。
PHP は文字エンコードの取扱で深刻な脆弱性があったけどもう修正されたのかな?

 

25: 名無しのシステムエンジニアさん 2019/03/26(火) 23:58:03.56 ID:QhCVKYDN
Cに決まってら と書き込もうとしてら
そのとおりで笑っちゃうな

 

28: 名無しのシステムエンジニアさん 2019/03/27(水) 00:14:14.13 ID:zryLjFFD

>>25
当たり前だよな
・シェアが大きい
・OSやデバイスドライバなど脆弱性が入り込みやすい用途でもちいられる

こんな調査に何の意味があるのかと…
(PL/Iは著しく脆弱性が少ないとか言いたいのかな?)

 

31: 名無しのシステムエンジニアさん 2019/03/27(水) 00:21:17.12 ID:EKjyuCMU
>>25
c言語自体に脆弱性はない気するんだがなー
結局、コンパイラとかosの問題に帰結する気がする

 

26: 名無しのシステムエンジニアさん 2019/03/27(水) 00:02:15.50 ID:viO6G3dP

PHPは適当に書けば適当に動いてくれるからな

お手軽でいいんだけど、そのぶん予期しない結果になることもあるから
ある意味怖い言語でもある

 

29: 名無しのシステムエンジニアさん 2019/03/27(水) 00:20:29.72 ID:s8ZkHVr4
Python (6%)
C++ (6%)
Ruby (5%)
って笑える。JAVAやPHP以上に問題あるよ

 

38: 名無しのシステムエンジニアさん 2019/03/27(水) 01:08:25.18 ID:CBXq5Oki

>>29

スクリプト言語の脆弱性は言語のメンテナンスチームの質や設計による
PHPのセキュリティ脆弱性は段違いに酷い
商用向けならセキュリティのコンサルなりに見せないと安心できない

 

30: 名無しのシステムエンジニアさん 2019/03/27(水) 00:20:38.89 ID:QblVzPcv
生PHPのサイトなんて脆弱性だらけだからな
かと言ってフレームワークはロクなもんがない
PHPは滅びたほうが世のため

 

44: 名無しのシステムエンジニアさん 2019/03/27(水) 01:39:00.18 ID:7F+uCqAA
ちゃんと書けてるつもりでも書けてないんだよ
プログラムなんてだれでも書けるんだというやつは
落とし穴にハマりながら言ってることに気が付いてない

 

50: 名無しのシステムエンジニアさん 2019/03/27(水) 02:16:53.66 ID:3Jj3OJws
Perlならちょっと書ける

 

58: 名無しのシステムエンジニアさん 2019/03/27(水) 03:15:33.97 ID:my0g/eCF
cはマルチスレッドで困る。あと、文字列処理が糞めんどい。

 

60: 名無しのシステムエンジニアさん 2019/03/27(水) 03:27:21.73 ID:DnNZCT2p
コボルって果実が美味いらしい。
熟してるらしい。

 

64: 名無しのシステムエンジニアさん 2019/03/27(水) 04:52:04.23 ID:LV3A+cu7
・言語そのものに脆弱性がある
・その言語で作られたフレームワークやライブラリに脆弱性がある
・その言語で作られたアプリ、プログラムに脆弱性がある
この3つ分けて考えたほうがいいのでは?

 

Posted by flac