最新通告 Java .NET安全性最低

根据最近发布的 Veracode 的软件测试报告，超过四分之三使用 Java 和 .NET 编写的应用程序至少存在一个以上的 OWASP Top 10 漏洞。OWASP Top 10 是根据开放 Web 应用程序安全项目公开共享的 10 个最关键的 Web 应用程序安全漏洞列表。

Veracode对76万个应用程序的安全性进行分析之后发现，使用Java、.NET编程生态系统的应用程序中，大约有20%的应用程序至少可能存在这样一个相对较高数量级的严重性或实质上的严重性有限的漏洞。

另一方面，应用程序中的缺陷和漏洞却并没有得到快速修复。虽然开发人员和开源项目正在努力修复软件缺陷，但报告结果显示，平均漏洞的半衰期依旧是以“月”为单位，而不是几天或几周。

令人惊讶的是，用 JavaScript 或使用其中一种 JavaScript 框架编写的应用程序出现漏洞的几率更小。某项调查研究显示，大约 80% 的 Java 和 .NET 应用程序存在漏洞，20%存在高危漏洞；而使用 JavaScript 的应用程序只有56%存在漏洞，高危漏洞不到10%。

Veracode 战略产品管理副总裁 Tim Jarrett 表示JavaScript 框架更新、更安全，并且具有开源生态系统的优势。

此外，如果 Java 应用程序中的漏洞是第一方问题——让开发人员解决问题——在 JavaScript 和 Node.js 框架中，漏洞通常是第三方问题，因为漏洞发生在软件所依赖的组件中。但是，这些漏洞并不总是被忽视，有时甚至是致命的。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!