首页 | 新闻 | 新品 | 文库 | 方案 | 视频 | 下载 | 商城 | 开发板 | 数据中心 | 座谈新版 | 培训 | 工具 | 博客 | 论坛 | 百科 | GEC | 活动 | 主题月 | 电子展
返回列表 回复 发帖

编程语言安全性排行榜(2)

编程语言安全性排行榜(2)

高严重性漏洞的变化情况


接下来,我们来重点关注一下高严重性的漏洞(在通用安全漏洞评估系统CVSS v2中高于7的漏洞)。

从上图中我们可以看到,虽然2017年安全漏洞的数量激增,但是除了JavaScript和PHP之外,报告中涵盖的大多数语言中高严重性漏洞的百分比都在下降。

而这得益于发现安全漏洞的自动化工具。这些工具能够很好的发现漏洞,但是漏洞的严重程度并不高,这也是我们看到中等严重的漏洞数量增加的原因。
不同语言的不同安全漏洞(CWE)



为了更加严谨的研究各种编程语言的安全性,接下来我们要检查每种语言中出现的漏洞类型,同时为了方便理解它们的弱点和长处,我们分析了随着时间的推移在每种语言中发现的CWE类型。

从图中我们可以看到站点脚本(XSS)(也称为CWE-79)和输入验证(也称为CWE-20)是出现频率最高的CWE。除此之外,其它出现频率较高的CWE包括信息泄漏/泄露(CWE-200)、路径遍历(CWE-22)、权限和访问控制(CWE-264)。

当漏洞变得越来越流行时,会有解决这个问题的框架出现,同时开发人员也会对该漏洞越来越熟悉了解,所以,可能在可预见的未来这个漏洞就会消失。
返回列表