Estudo realizado pela WhiteSource aponta quais são as linguagens de programação mais inseguras!

IBM lança ferramentas para ajudar desenvolvedores

Ninguém esta ileso de erros ou falhas de segurança, mas analisando todos os relatórios de vulnerabilidades de todos os tipos, a WhiteSource, conseguiu listar as linguagens de programação mais inseguras dos últimos 10 anos. Nos últimos tempos, temos visto muitas falhas de segurança de hardware, como por exemplo, Meltdown e Specter da Intel, e ao mesmo tempo, temos muitas falhas nas linguagens de programação, muitas mesmo.

No estudo da WhiteSource, foi levado em consideração o seu banco de dados de segurança das 7 linguagens mais utilizadas no mundo inteiro. Este banco, contém informações de inúmeras fontes, dentre elas o National Vulnerability Database (NVD). Logo, dados de avisos de segurança, rastreadores de problemas no Github, e outros rastreados de projetos de código aberto. É muita informação, afinal precisão neste momento é essencial.

De acordo com o resultado da pesquisa, as linguagens de programação mais inseguras são:

  • C
  • Java
  • JavaScript
  • Python
  • Ruby
  • PHP
  • C++

Acredito que você não tenha ficado surpreso, nem eu. A linguagem de programação vencedora, cujo o número de erros é alto, se comparado as outras é a C. Cerca de 50% de todos os erros ou falhas relatados estavam em C.

O Engenheiro de segurança do kernel do Google Linux, Kees Cook, escreveu em seu blog que C é sofisticado, quase um código de máquina. Ao mesmo tempo, o C vem com uma bagagem preocupante, muitas indefinições e outras limitações que levam a falhas de segurança e infraestrutura vulnerável.

Isso não quer dizer que C é menos seguro que os outras linguagens. O alto número de vulnerabilidades de código aberto em C pode ser explicado por vários fatores. Para iniciantes, o C tem sido usado por mais tempo do que qualquer uma das outras linguagens que pesquisamos e tem o maior volume de código escrito. É também uma das linguagens por trás das principais infraestruturas, como o OpenSSL e o kernel do Linux. Esta combinação em grande volume e centralidade explica o alto número de vulnerabilidades conhecidas de código aberto em C.

Ainda segundo o relatório, C ++, possui as vulnerabilidades mais severas nos últimos cinco anos. Erros de buffer, que há muito tempo afetam o C, também estão sendo descobertos frequentemente em C ++. Com isso, o JavaScript, talvez a linguagem mais popular, também é o único que viu um” aumento contínuo no número de vulnerabilidades nos últimos 10 anos”.

A maioria das CWE (Common Weakness Enumeration) do JavaScript são Path Traversal e falhas de segurança de criptografia de pacotes JavaScript, que mal são usados, mantidos ou suportados, diz o relatório.

A única linguagem que vem se mostrando um bom desempenho, quando o assunto é falhas de segurança é por exemplo é o bom e velho Python. Quase todos os idiomas compartilham algumas CWEs. Duas CWEs são encontradas em 70% dos idiomas mais comuns: Cross-Site-Scripting (XSS), também conhecido como CWE-79 e Input Validation, também conhecido como CWE-20, e muitas outras.

Mas o C é realmente o pior e o Python o melhor? A WhiteSource acha que é uma conclusão simples demais. O relatório aponta que não há garantia de segurança apenas pela linguagem de programação, mas de como o desenvolver a utiliza, estar atento as modificações, atualizações e novos recursos, podem ajudar manter o software e obviamente seus usuários finais protegidos.

Com informações do:

Emanuel Negromonte Autor
Autor
Jornalista especialista em Linux a mais de 20 anos. Fundador do SempreUpdate e entusiasta do software livre.