據(jù)軟件測試公司Veracode最新的報告，超過四分之三使用 Java 和 .NET 編寫的應(yīng)用程序至少存在一個以上的 OWASP Top 10 漏洞。OWASP Top 10 是根據(jù)開放 Web 應(yīng)用程序安全項目公開共享的 10 個最關(guān)鍵的 Web 應(yīng)用程序安全漏洞列表。

Veracode對76萬個應(yīng)用程序的安全性進行分析之后發(fā)現(xiàn)，使用Java、.NET編程生態(tài)系統(tǒng)的應(yīng)用程序中，大約有20%的應(yīng)用程序至少存在一個高嚴重性或嚴重性漏洞。

平均每個應(yīng)用程序每月出現(xiàn)一個及以上安全漏洞的幾率超過27%，編寫不當?shù)膽?yīng)用程序和不經(jīng)常掃描的應(yīng)用程序可能存在更多缺陷。但安全流程歷史較長且由訓(xùn)練有素的人編寫的應(yīng)用程序數(shù)據(jù)顯示，開發(fā)人員不太可能引入新的缺陷。

Veracode 戰(zhàn)略產(chǎn)品管理副總裁 Tim Jarrett 表示，該分析強調(diào)了將安全性集成到開發(fā)管道中的重要性。

另一方面，應(yīng)用程序中的缺陷和漏洞卻并沒有得到快速修復(fù)。雖然開發(fā)人員和開源項目正在努力修復(fù)軟件缺陷，但報告結(jié)果顯示，平均漏洞的半衰期依舊是以“月”為單位，而不是幾天或幾周。

例如，在占所有樣本量71%的Java 和 .NET 應(yīng)用程序中，分別被發(fā)現(xiàn)一半以上的漏洞在243天和158天后，依舊沒有完全修復(fù)。

Veracode報告

應(yīng)用程序膨脹和老化也對安全性產(chǎn)生了重大的負面影響。平均應(yīng)用程序積累了大約 40% 的代碼，并且更容易出現(xiàn)漏洞。大約 54% 的兩年前應(yīng)用程序存在缺陷，五年的應(yīng)用程序缺陷率達到69%。

JavaScript 的安全性更高

令人驚訝的是，用 JavaScript 或使用其中一種 JavaScript 框架編寫的應(yīng)用程序出現(xiàn)漏洞的幾率更小。某項調(diào)查研究顯示，大約 80% 的 Java 和 .NET 應(yīng)用程序存在漏洞，20%存在高危漏洞；而使用 JavaScript 的應(yīng)用程序只有56%存在漏洞，高危漏洞不到10%。

Veracode 戰(zhàn)略產(chǎn)品管理副總裁 Tim Jarrett 表示JavaScript 框架更新、更安全，并且具有開源生態(tài)系統(tǒng)的優(yōu)勢。

此外，如果 Java 應(yīng)用程序中的漏洞是第一方問題——讓開發(fā)人員解決問題——在 JavaScript 和 Node.js 框架中，漏洞通常是第三方問題，因為漏洞發(fā)生在軟件所依賴的組件中。

參考來源：https://www.darkreading.com/threat-intelligence/java-net-developers-frequent-vulnerabilities