电子技术论坛_中国专业的电子工程师学习交流社区-中电网技术论坛

标题: 编程语言安全性排行榜（2） [打印本页]

作者: look_w 时间: 2019-4-12 16:34 标题: 编程语言安全性排行榜（2）

高严重性漏洞的变化情况

接下来，我们来重点关注一下高严重性的漏洞（在通用安全漏洞评估系统CVSS v2中高于7的漏洞）。

从上图中我们可以看到，虽然2017年安全漏洞的数量激增，但是除了JavaScript和PHP之外，报告中涵盖的大多数语言中高严重性漏洞的百分比都在下降。

而这得益于发现安全漏洞的自动化工具。这些工具能够很好的发现漏洞，但是漏洞的严重程度并不高，这也是我们看到中等严重的漏洞数量增加的原因。
不同语言的不同安全漏洞（CWE）

为了更加严谨的研究各种编程语言的安全性，接下来我们要检查每种语言中出现的漏洞类型，同时为了方便理解它们的弱点和长处，我们分析了随着时间的推移在每种语言中发现的CWE类型。

从图中我们可以看到站点脚本（XSS）（也称为CWE-79）和输入验证（也称为CWE-20）是出现频率最高的CWE。除此之外，其它出现频率较高的CWE包括信息泄漏/泄露（CWE-200）、路径遍历（CWE-22）、权限和访问控制（CWE-264）。

当漏洞变得越来越流行时，会有解决这个问题的框架出现，同时开发人员也会对该漏洞越来越熟悉了解，所以，可能在可预见的未来这个漏洞就会消失。

欢迎光临电子技术论坛_中国专业的电子工程师学习交流社区-中电网技术论坛 (http://bbs.eccn.com/)