[ملاحظة المحرر] CSDN على لغة البرمجة السلامة، كما أقدم لغات البرمجة، C لا يزال واحدا من أكبر الضعف مفتوح المصدر، ولكن PHP لديها أكبر تغيير، لماذا PHP هو أكثر عرضة للهجمات؟
الكاتب | مايكل هولاندر
المترجم | الغضروف المفصلي، ذبيان | TANG الرصاص
رئيس الشكل | CSDN تنزيل من IC الشرقية
أنتجت | CSDN (ID: CSDNnews)
وفيما يلي ترجمة:
وبدا التأثر مفتوحة المصدر مرة أخرى زيادة.
منذ عام 2017، شهدنا زيادة سريعة في عدد من الثغرات في تقرير مجتمع المصادر المفتوحة. وكان العام الماضي استثناء، WhiteSource التقرير "الضعف المصدر المفتوح" وجدت أنه في 2019 تم الإبلاغ عن ما مجموعه 6100 مواطن الضعف، وعام 2018 أفاد 4100 نقاط الضعف.
معدل الزيادة بين العامين تصل إلى 50 في حد ذاته يمكن أن يكون أكثر من العناوين. ويحلل التقرير أيضا اللغة التي كان معظم مفتوح المصدر ضعف ما هي معظم نقاط الضعف المشتركة في كل لغة، فضلا عن النتائج للمجتمع تطوير البرمجيات كيفية التطبيقات بناء الوحي.
2019 لكل لغة أخطر مفتوحة المصدر عبر موقع البرمجة
في الإصدار 2019 من نقاط الضعف مفتوحة المصدر، XSS (عبر موقع البرمجة، وهما XSS) تقريبا كل لغة البرمجة أعلى، ومعظم نوع شائع من الضعف.
في لغة البرمجة، والأكثر خطورة هو أن يحدث الخطأ عازلة لغة C (CWE-119)، ومع غير لائق التحقق من صحة المدخلات (CWE-20) في المرتبة الثانية الضعف.
مع هذه البيانات، يمكننا أن نرى أسئلة وأجوبة تتعلق المجتمع وتطوير البرمجيات. على وجه التحديد، وكثير منها بسبب المطورين ثغرات لم يكن لديك يمكن للمستخدم القيام القيود المناسبة تسبب، وبالتالي تقويض أمن تطبيقات الويب.
في معظم الحالات، يتم برمجة سبب هذه الثغرات يست صارمة بما فيه الكفاية. وتشير هذه نقاط الضعف التي الانتباه إلى معايير الترميز الأساسية أمر بالغ الأهمية للأمن.
كل إصدار لغة من نسبة الضعف مفتوحة المصدر
من وجهة نظر التقرير بأكمله، في العام الماضي، وهذه اللغات شعبية في توزيع الثغرات الأمنية مفتوحة المصدر تختلف.
على الرغم من أن لغة C لا يزال معظم الضعف المصدر المفتوح (30)، ولكن هذا لأن C هي واحدة من أقدم لغة، ونحن لا تزال تستخدم بعض المشاريع مفتوحة المصدر شعبية جدا. سواء كنت شئنا أم الكراهية C لغة، لا يمكن إنكاره، من دون الكثير من التعليمات البرمجية يمكن كتابة في لغات أخرى منافسة C.
ومع ذلك، ما يبعث على الحيرة هو أكبر تغيير في PHP، من 15 في عام 2009 ضعف مفتوحة المصدر من وسيلة تصل إلى 27 في 2019. ونحن لا يمكن إلا أن نبدأ في التفكير في سؤالين: أولا، ما هو السبب، PHP هو أكثر عرضة للهجمات؟ ثانيا، فإنه لا يزال حقا استخدام PHP؟
ووفقا لمؤشر TIOBE في سبتمبر 2019 من، PHP بسبب سهولة استخدامه ومحدودة على نطاق واسع المصممين تطوير البرمجيات قوة تكنولوجيا الويب نرحب، لذلك PHP تزداد شعبية. ويبدو أن اللغة أن يكون تبادل السلامة مع سهولة استخدامه، والآن المجتمع أكثر وأكثر مهارة في اكتشاف نقاط الضعف، لذلك هذه التسوية ستكون قريبا مشكلة.
وورد الشعبية وتطبيقات أخرى لا تزال تستخدم PHP، ولكن شعبية هذه التطبيقات تقع قريبا. وبعبارة أخرى، يظهر اتجاه، واستخدام PHP آخذ في الانخفاض، والآن المطورين يميلون إلى استخدام لغة أكثر شعبية مثل بايثون، في السنوات القليلة الماضية، باللغة التي تصدرت القائمة، ولكن ظلت حالات الضعف لغة بيثون على مستوى أدنى.
وتركز الآلاف من رجال الأمن المصدر المفتوح
والسؤال الثالث هو السبب في أننا نرى الآن زيادة في الضعف PHP. على الرغم من أنني وقال لم يثبت الجواب، ولكن في بعض الطرق التي يمكن أن ننظر في الاتجاهات وتطوير التطبيقات مفتوحة المصدر.
مع ظهور رمز مصدر أكثر انفتاحا، وكان مجتمع المصادر المفتوحة الانتباه أيضا المزيد والمزيد من الناس. ونرى أيضا من خلال زيادة استخدام الأدوات الآلية لمساعدة العثور على مزيد من الضعف، لذلك وجدت، علة وإطلاق سراح أكثر وأكثر. كتقرير مباشر على الثغرات الأمنية مفتوحة المصدر مريحة للغاية من قبل جيثب الأمن مختبر، وبالتالي فإن عدد من نقاط الضعف التي نشرت سيستمر في الزيادة، خصوصا مع رمز قاعدة كبيرة ولكن قد لا يكون لغة التدقيق.
منذ وورد ودروبال وغيرها من المشاريع مفتوحة المصدر الاستخدام الواسع النطاق للPHP، لذلك هناك الكثير من المشاريع PHP قيد الاستخدام. الباحثون بمراجعة هذه المشاريع، واكتشفوا الضعف قد كان هناك لم تبلغ التعليمات البرمجية.
الطريق إلى الأمام هو ممارسة برمجة أفضل
في جوهرها، وثغرة أمنية هو أن بعض الأخطاء التي قد تؤدي إلى تطبيق وتدمير البيانات الخاصة به. عندما تهدد أخطاء البرمجة في الوصول إلى البيانات والنزاهة والسرية، وأنه ينتمي إلى مجال الثغرات الأمنية. في معظم الحالات، نقاط الضعف هذه ليست سوى بعض الأخطاء البشرية. طالما استمرت البشر إلى رمز الكتابة، يحدث خطأ، سيكون هناك ثغرات في مشروعنا.
لذلك، مشكلتنا هي كيفية إدارة استخدام البرمجيات الضعف. أولا، والأهم من ذلك، نحن بحاجة إلى اتباع أفضل الممارسات للبرمجة آمنة. على الرغم من أن المدونة ليست انتقادات الدقيق ما يكفي من شخص بسيط جدا، ولكن الانتقاد الوحيد لا يكفي، نحتاج أيضا إلى ترقية أنفسهم.
بالإضافة إلى اتباع أفضل الممارسات البرمجة، ونحن بحاجة أيضا إلى التحقق من نقاط الضعف الرمز، وليس فقط قبل النشر. الاعتماد على بناء التطبيقات الأساسية، ولكن وجدت أن هناك بعض العيوب الخطيرة، وهذا هو شيء مؤلم جدا، لديك لإعادة كتابة الدموع بصمت هذا الرمز. إذا فهم مختلف مراحل اختبار خطأ دورة حياة تطوير البرمجيات من حيث الأهمية، بعد ذلك يجب أن نفهم أن الشيكات قد تكون وضعت والثغرات الأمنية المستخدم في خطر بنفس القدر من الأهمية.
اللغة الإنجليزية: هل احد لغة برمجة أكثر أمانا من الراحة؟
الرابط: الشبكي: //dzone.com/articles/is-one-programming-language-more-secure
المؤلف: مايكل هولاندر
الترجمة: الغضروف المفصلي
هذه المقالة CSDN الترجمة، يرجى الإشارة إلى المصدر من المصدر.
كجزء هام "الملايين من الناس على تعلم AI" هو، سيكون 2020 مؤتمر مطوري AIProCon مليون نسمة بحلول 26 يونيو أشكال اونلاين لايف، وذلك للمطورين وقفة واحدة لمعرفة المزيد عن منظمة العفو الدولية بحوث التكنولوجيا المتطورة الحالية، والتكنولوجيا الأساسية والتطبيقات، فضلا عن الخبرة العملية في حالة الأعمال التجارية، ولكن يمكن أيضا أن تشارك في مجموعة متنوعة من المثير المطور على الانترنت شارون ومشاريع البرمجة. المحتملين سلسلة من المعنيين من الأنشطة، ويعيش التفاعل عبر الإنترنت، وليس فقط يمكن الاتصال مع عشرات الآلاف من المطورين، وكذلك فرصة للفوز الهدايا الحية الحصرية والقهوة والقمح التكنولوجيا حتى كبير.
تعليقات تم اختيار سجل الزوار، والحصول على قيمة 299 يوان "2020 للمطورين AI مليون نسمة المؤتمر" تذكرة مباشر اون لاين. تعال الأصابع، أكتب ما كنت أريد أن أقول ذلك!
شراء مايكروسوفت لشركة هو الشخص؟ برنامج سوني لصدع، والمتسللين كتابة الروايات، ومشاهدة له قوي الحياة البرنامج!
UAV الصيني مذكرات "الطفل مدفع القديم"
4 في 46 طبعات، قراءة المقالة تاريخ سحابة الربيع
القدرات التقنية AI Jingdong مول وراء سر - على أساس الكلمات الرئيسية موجز تم إنشاؤه تلقائيا
أكد أب الإنترنت في العهد الجديد، الأسطوري: إما جوجل نائب الرئيس، والوصول إلى علماء وكالة ناسا
لم يكن أسهل: كنت المرتدة في الدقيقة 10 كافكا!
لا عهد رمز، ومبرمج كيفية الحفاظ على وظائفهم؟
