Программное обеспечение, разработанное на Java и C# оказалось самым уязвимым
Эти же языки программирования оказались самыми популярными у программистов. AppSec Solutions на базе продукта AppSec.Hub проанализировали метрики DevSecOps и определили наиболее распространенные недостатки кода и языков программирования, которые приводят к утечкам данных и росту рисков кибератак. Анализ провели на реальных анонимных данных клиентов из разных индустрий в России в 2024 году.
В выборку исследования вошли наблюдения за 98 командами разработчиков, которые трудились над разработкой ПО для наиболее важных отраслей экономики. В частности, исследование коснулось разработки компаний таких сфер как: финансовый сектор, телеком, промышленность, ТЭК и других. Целью было проанализировать обезличенные данные и выявить наиболее типичные проблемы информационной безопасности. Эксперты провели анализ более 140 миллионов строк кода, чтобы определить основные метрики плотности риска безопасности. Для расчета метрики были использованы еженедельный срез данных о количестве выявленных и неисправленных уязвимостей.
Анализ данных в течение нескольких месяцев показал, что языки программирования, которые используют команды, имеют разные риски уязвимостей для кибератак. Эксперты рассчитали общую и критическую плотность риска для 7 основных языков программирования: Java, JavaScript, C#, SQL, Python, PHP, Go. Самая высокая плотность риска у ПО, написанного с помощью C# и Java. Например, у С# медианная SRD, то есть плотность риска безопасности (Security Risk Density - прим. Авт.) равна 4,58, и это самый значительный показатель среди всех проанализированных значений.
Для сравнения, приведем таблицу уровня риска для разных языков программирования.
Исследование подтвердило тенденции в ИБ в целом. Языки программирования сильно различаются по плотности риска. Наименьшие показатели – Go, Python, SQL, наибольшие – Java и C#.
«Для создания вредоносного кода злоумышленникам проще пользоваться Java за счет большего количества зависимостей при программировании. Представьте себе две компании, в одной из которых трудится 50 человек, а в другой – 500. В какой из них у злоумышленников будет больше возможностей найти «слабое звено»? Примерно таков же принцип работает и с языками программирования. Java и C# доступны во множестве библиотек, где можно найти решения почти под любые задачи и в то же время чрезвычайно популярны у команд разработки», — комментирует Антон Башарин, Старший управляющий директор AppSec Solutions.
Напротив, Go, также известный как Golang, наиболее безопасный язык программирования. Golang — это универсальный язык, разработанный Google в 2007 году. Он сочетает в себе скорость и безопасность C/C++ с гибкостью Python. Традиционно порог входа в С/С++ выше, чем в любые другие языки, что даёт меньшее количество уязвимостей.
Любое приложение сегодня – как правило, сочетает в себе несколько языков программирования. Разработчик берет несколько языков для разработки интерфейса, серверной части и взаимодействия компонент. Рейтинг «безопасности» языков программирования помогает понять, в какой области могут быть критически значимые уязвимости, где нужно провести оценку рисков прежде всего.
похожие материалы
Исследователи предупредили о новой фишинговой кампании, нацеленной на клиентов сервиса
Производитель популярного менеджера паролей LastPass сообщил о новой волне фишинговых атак, направленных на пользователей его сервиса.
Исследователи проанализировали более 1 млрд украденных паролей
Компания Outpost24 опубликовала обновлённый отчёт Breached Passwords Report, основанный на анализе более 1 млрд скомпрометированных паролей, собранных из утечек данных и с помощью инфостиллеров.
Исследователи обнаружила новый модульный бэкдор ShadowRelay в инфраструктуре госсектора
Специалисты центра исследования киберугроз Solar 4RAYS выявили ранее неизвестный модульный бэкдор под названием ShadowRelay, который был обнаружен в инфраструктуре одной из организаций государственного сектора.
В РФ ИИ-технологии используют лишь около 10% компаний
Исследование компании Artezio совместно с Comindware и ассоциациями «Руссофт» и BPM-профессионалов фиксирует характерный для российского рынка «ИИ-парадокс»: бизнес признаёт стратегическую важность искусственного интеллекта, но не спешит переходить к внедрению.
Минцифры РФ создало рабочую группу для борьбы с противоправным использованием дипфейков
Министерство цифрового развития, связи и массовых коммуникаций России сформировало межведомственную рабочую группу, целью которой станет противодействие незаконному использованию технологий типа дипфейк.
AMD выпустила критическое обновление безопасности для процессоров и платформ
Компания AMD опубликовала новый бюллетень безопасности, в котором описаны несколько важных уязвимостей, затрагивающих процессоры и платформы AMD.
Эксперты фиксируют, что злоумышленники все чаще используют резидентные прокси
Владельцы сетей резидентных прокси используют IP-адреса, выданные пользователям интернет-провайдерами и перепродают к ним доступ злоумышленникам.
Фишинг через календарь: как Google Gemini можно использовать для атак
Исследователи по безопасности из компании Miggo рассказали о необычном способе эксплуатации уязвимости, который злоумышленники могут использовать для распространения фишинга и вредоносных ссылок - через пригласительные события в календаре, инициированные ИИ-ассистентом Google Gemini.
Группа Everest заявила о крупной атаке на McDonald’s и похищении почти 1 ТБ данных
Крупная вымогательская группировка Everest ransomware gang, ранее известная по атакам на аэропорты и другие крупные организации, объявила, что стала новым злоумышленником, нацеленным на подразделение McDonald’s в Индии.
Критическая уязвимость в Modular DS Plugin затронула более 40 000 сайтов
Исследователи по безопасности обнаружили критическую уязвимость повышения привилегий в популярном плагине Modular DS Plugin для WordPress, которой уже активно пользуются злоумышленники в реальных атаках.