Koha për të vënë gjuhët e programimit në provë. Cilat gjuhë programimi janë më të sigurta dhe që kanë më pak mundësi për t’u sulmuar? Një raport nga WhiteSource shqyrtoi dobësitë e sigurisë në disa prej gjuhëve më të njohura të programimit dhe shikoi trendet e dobësive të sigurisë gjatë viteve.
Ne të gjithë kemi një gjuhë programimi të preferuar për një arsye apo një tjetër. Ose ju pëlqen sintaksa, libraritë me të cilat mund të punoni ose thjesht jeni mësuar me të. Por a hyn në lojë siguria e një gjuhe kur e konsideroni për ta përdorur atë?
Një raport nga WhiteSource shqyrton dobësitë e sigurisë në gjuhët e programimit më të njohura. Le të shikojmë listën nga raporti. Dobësitë që ka çdo gjuhë sipas raportit:
- C (46.9%)
- PHP (16.7%)
- Java (11.4%)
- JavaScript (10.2%)
- Python (5.45%)
- C++ (5.23%)
- Ruby (4.25%)
WhiteSource shqyrtoi informacionet nga baza e të dhënave, që përfshin burime të shumta bashkë me “Baza e të dhënave kombëtare të cënueshmërisë, këshillat e sigurisë, gjurmuesit në GitHub dhe gjurmuesit në projektet open-source”.
Profilet e sigurisë
Ndërsa në fillim mund të tronditeni nga numri i madh që ka gjuha C, numrat nuk tregojnë gjithë historinë. C është një gjuhë e vjetër dhe fshihet pas shumë projekteve të mëdha. (C ka lindur rreth vitit 1972, shihet rritja dhe rënia e saj dhe përsëri rritja). Në përgjithësi, kur e merrni këtë parasysh, është ende një gjuhë e sigurtë.
Gjuhët si Java përdoren nga një përqindje e madhe e popullsisë programuese, gjë që shpjegon pozitën e saj mjaft të lartë në listë. Dobësitë e larta të sigurisë për Java kanë rënë që nga viti 2015. Një nga problemet më të mëdha të sigurisë së Java përfaqësohet nga çështjet e deserializimit. Çështjet e deserializimit zakonisht janë unike për Java dhe nuk gjenden në PHP, Ruby ose Python.
JavaScript shpesh renditet si gjuha e programimit më e popullarizuar, prandaj merrni parasysh kur shqyrtoni rritjen e dobësive të tij. Sipas hulumtimit nga WhiteSource, “61% e dobësive të JS janë në lidhje me path traversal dhe kripto, 70% e këtyre paketave mezi përdoren, mirëmbahen ose suportohen dhe kanë pasur më pak se 2000 shkarkime në 2018”. Një nga arsyet që njerëzit i shmangen shkarkimit të këtyre paketave është falë popullaritetit të mjeteve të automatizuara.
Path Traversal është një sulm HTTP, që lejon sulmuesit të aksesojnë direktori të ndaluara dhe ekzekutojnë komanda jashtë direktorisë rrënjë të serverit.
Kur është fjala për PHP, dobësitë e sigurisë janë mjaft konsistente. Sidoqoftë, ka probleme në lidhje me SQL Injection. Kohët e fundit PHP ka rënë në popullaritet. Ne nuk e dimë se çfarë mban e ardhmja e saj; Nëse ndokush ka ndonjë parashikim mund të na shkruajë?
Tani është koha e Python që të mburret. Mesatarisht, Python ka sasinë më të ulët të dobësive të sigurisë gjatë 5 viteve të fundit. Në vitin 2018, dobësitë e sigurisë në gjuhë u zvogëluan dhe përgjithësisht kanë rënë që nga viti 2015.
Anë pozitive?
Mos lejoni që numrat t’ju mashtrojnë dhe mendoni se një gjuhë është në thelb më e mirë se një tjetër. Raporti jep këtë deklaratë të vlefshme:
Kur ne bëjmë krahasimet e shifrave dhe rishikojnë sasinë e dobësive të kodit open-source të raportuar për gjuhë programimi me kalimin e kohës, ajo që del është se nuk ekziston një trend i qëndrueshëm për të gjitha gjuhët, përveç faktit që të gjitha gjuhët panë një rritje të konsiderueshme të numrit të dobësive të raportuara në vitin 2017.
A po bëhet më keq siguria? Apo po bëhemi ne më të mirë në gjetjen e dobësive?
Raporti vazhdon të shpjegojë se mjetet e automatizuara janë bërë më të mira në gjetjen e dobësive në komponentët me kod të hapur dhe kjo është një nga arsyet kryesore pse numri i dobësive të gjetura po rritet. Në fakt, “përqindja e dobësive kritike është në rënie në shumicën e gjuhëve që kemi hulumtuar, duke përjashtuar JavaScript dhe PHP”.
Pyetja se cila gjuhë është “më e sigurtë” është një pyetje e vështirë pa një përgjigje të sinqertë dhe përfundimtare. Nuk ka anjë lloj sigurie dhe çdo gjuhë ka rastet e përdorimit të saj.
