Quali sono i linguaggi di programmazione più insicuri?

Raoul Scarazzini

WhiteSource un’azienda che lavora nell’ambito della sicurezza ed offre prodotti di controllo del codice in ambito open-source, ha recentemente pubblicato un’analisi delle vulnerabilità relative ai più diffusi linguaggi di programmazione.

Il tutto per rispondere a una domanda: quali linguaggi sono maggiormente esposti? Il risultato è sintetizzato in questa immagine:

Quindi nella TOP 3 troviamo Java, PHP e, al primo posto C. Vien da sé che i dati sulle vulnerabilità vanno in parallelo al grado di diffusione del linguaggio utilizzato, quindi se pensiamo a come la stragrande maggioranza del codice sui nostri sistemi sia scritto in C e in Java e la stragrande maggioranza dei siti web risieda su codice PHP il conto è presto fatto.

Ma non è solo questa tabella a svelare dati interessanti, infatti anche osservare quanto i linguaggi hanno incrementato le vulnerabilità nel tempo fornisce spunti utili alla discussione:

E qui balza all’occhio quanto Javascript (e in una certa misura Java) stia incrementando sempre più il numero di falle.

Insomma, la pagina contiene parecchie interessanti informazioni necessarie a misurare il termometro delle vulnerabilità nei software che utilizziamo quotidianamente. Buona lettura!

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.

, ,

14 risposte a “Quali sono i linguaggi di programmazione più insicuri?”

  1. Avatar Viktor Kopetki
    Viktor Kopetki

    sarebbe interessante fare un confronto con i linguaggi in base all’utilizzo, e fare un rapporto vulnerabilità/utilizzo

  2. Avatar watan95
    watan95

    Condivido. Sarebbe poi anche interessante capire da cosa siano dovute le “nuove” vulnerabilità.
    Credo ci sia una grossa differenza tra una vulnerabilità introdotta in una nuova versione e una invece scoperta solo in un secondo momento. Senza sapere queste informazioni la leggibilità della seconda tabella risulta molto difficoltosa e, a mio pensiero, anche inutile.
    È ovvio che più un linguaggio sia diffuso maggiore sarà l’impegno nel trovare delle falle. Questo non implica però che i linguaggi che qui sembrerebbero più sicuri lo siano realmente. Potrebbero infatti essere altrettanto insicuri solo che nessuno ha ancora trovato le falle che si portano dietro.

  3. Avatar MarcoSE
    MarcoSE

    C’è un errore di fondo nell’articolo: si intendono le vulnerabilità presenti nei software scritti con quel determinato linguaggio e non le vulnerabilità del linguaggio (cosa che avrebbe invero poco senso visto che bisognerebbe prendere in considerazione le n implementazioni e non il linguaggio in sè).

    Un dato importante che si può evincere – per quanto ormai assodato – è che i linguaggi tipizzati portano a scrivere del codice mediamente più sicuro (Java è utilizzato tanto quanto il C ma ha “solo” un quarto delle vulnerabilità).

  4. Avatar Pietro Bonaccorso
    Pietro Bonaccorso

    Speravo che questo articolo dicesse questaqu oltre a fare un copia e incolla di un grafico

  5. Avatar giacomofurlan
    giacomofurlan

    È semplice: negli ultimi anni si è accentuato il fatto che le cose devono essere pronte prima, scritte sempre piu da junior o stagisti. Facciamo una comparazione di questi dati?

  6. Avatar TheRealFoggy
    TheRealFoggy

    Oh la!

  7. Avatar Plokko
    Plokko

    …un po’come dire tutti quelli che hanno bevuto acqua sono morti quindi l’acqua uccide…

  8. Avatar almas1976
    almas1976

    Condivido. L’articolo non dà alcun valore aggiunto.

  9. Avatar Raoul Scarazzini
    Raoul Scarazzini

    No in effetti no, l’intento non era dare valore aggiunto ma riportare la notizia dal blog di Whitesource. Vien da sé che una ricerca maggiormente dettagliata potrebbe dare spunti più rilevanti in termini di comparazione tra i vari linguaggi, ma in ogni caso i dati sui vari trend (uno su tutti quello di Javascript) sono comunque curiosi.
    Poi è ovvio, se uno costruisce applicazioni farraginose c’è poco da fare e poco dipende dal linguaggio, ed è per questo che i dati riportati van guardati da lontano.

  10. Avatar Raoul Scarazzini
    Raoul Scarazzini

    Come sopra, l’intento non voleva essere quello di effettuare un’analisi comparativa, sintattica e dettagliata delle tecniche di programmazione utilizzate oggi, analizzando le differenze di stile dei vari linguaggi e quanto queste espongano a rischi nelle applicazioni finali. Voleva essere semplicemente uno spunto di riflessione su dei dati riportati in un’articolo letto.

  11. Avatar Raoul Scarazzini
    Raoul Scarazzini

    Penso che tu abbia sintetizzato ottimamente quelle che sono le domande che l’articolo voleva sollevare. Purtroppo gli unici a raggruppare dati in questo senso sono società private che, nella maggioranza dei casi, non rendono pubblici i risultati o, come in questo caso, di fatto vogliono pubblicizzare prodotti.

  12. Avatar Raoul Scarazzini
    Raoul Scarazzini

    Concordo su tutta la linea. Purtroppo i dati dell’articolo originale non sono esaustivi in questo senso, ma non ho voluto rinunciare a riportare la notizia, poiché in ogni caso di spunti interessanti ne offre.

  13. Avatar Plokko
    Plokko

    Ok ma come volevo far intendere nel messaggio è una statistica che non porta alcuna informazione:
    si trovano più bugs perchè si scrive più codice, codice peggiore o perchè ci sono controlli più accurati?
    Le falle non sono divise per tipologia o gravità ma soprattutto c’è un confronto tra linguaggi che sono RADICALMENTE diversi:
    come si fa a confrontare un codice in c++ che per natura è più soggetto a exploit dato che ha un livello di astrazione molto più basso con Javascript e Php che hanno altri ruoli?!?!
    Quello che sto criticando è solo il fatto che presentiate dati inconsistenti, il fatto che provengano da altre fonti non indica che queste considerazioni non si possano fare prima di postarli

  14. Avatar Raoul Scarazzini
    Raoul Scarazzini

    Si si, chiarissimo. Il tema dell’articolo è approfondito nell’altro articolo https://www.miamammausalinux.org/2019/04/quali-sono-i-linguaggi-di-programmazione-piu-richiesti/ che per come la vedo io è utile a farsi un’idea. Poi è chiar: senza dati più precisi è un po’ parlar del sesso degli angeli 🙂

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

GitHub
KPA
Kubelab
Vai alla sezione Articoli
Vai ai Saturday’s Talks

Categories

Articoli (68) Il mmullato (12) Notizie (3154) Saturday's Talks (54)

Tag cloud

ai (69) AlmaLinux (33) Android (34) Bug (78) Canonical (85) CentOS (47) Cloud (63) container (51) Controversia (39) Debian (99) desktop (34) docker (65) Fedora (60) Firefox (37) GitHub (75) Gnome (33) Google (88) IBM (56) Intel (55) KDE (42) Kernel (256) Kubernetes (97) Linux (744) LTS (36) Malware (66) Microsoft (188) MicrosoftLovesLinux (37) Mozilla (37) open-source (391) Openstack (58) Oracle (35) Patch (35) Red Hat (170) Release (63) RHEL (41) Rust (39) SaturdaysTalks (52) Sicurezza (109) Software (41) SUSE (40) systemd (77) Torvalds (92) Ubuntu (178) Vulnerabilità (64) Windows (84)