Безопасность сайта практически не зависит от языка программирования
Компания WhiteHat Security опубликовала статистический отчет о количестве уязвимостей в веб–приложениях “2014 Website Security Statistics Report”.
Особое внимание авторы уделили фундаментальному вопросу: какой язык программирования или фреймворк следует выбрать с самого начала? Часто выбор делается в силу разных причин, а безопасность не является главным приоритетом. Разработчики выбирают более привычные и знакомые инструменты, учитывают последние модные тренды, производительность фреймворков и стоимость поддержки.
По результатам анализа 30 000 веб–сайтов компания WhiteHat Security составила список самых популярных языков веб–программирования и платформ для веб–приложений. Среди них лидируют .Net (28,1%), Java (24,9%) и ASP (15,9%). Исследование показало, что среднее количество уязвимостей на одно веб–приложение практически не зависит от выбранного фреймворка. Так, у приложений на .Net выявлено в среднем 11,36 уязвимостей на слот, Java — 11,32, ASP — 10,98.
Самые «безопасные» — сайты на Perl (7) и ColdFusion (6). Как видим, разница небольшая и ее можно считать не принципиальной. При этом у каждой платформы — свои слабые места. Так, 10,59% всех сайтов на ColdFusion оказались уязвимы перед SQL–инъекцией, а среди .Net — только 5,78%. Сайты на Perl лидируют по подверженности уязвимости XSS: 67%, что гораздо выше среднего.
Интересно, что выбор языка программирования сильно зависит от отрасли, для которой создается сайт. Например, финансовые компании, организации здравоохранения и страховые компании в 75% случаев выбирают ASP, сайты игровой направленности в 86% случаев работают на PHP. Банковская индустрия раскололась между .Net (55%) и Java (36%). Представители промышленного сектора выбирают Perl (43%), а технологические компании — PHP (35%).