The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Сравнения языков программирования с позиции безопасности написанного на них кода

04.12.2015 23:28

Компания Veracode опубликовала результаты исследования зависимости числа уязвимостей в коде от используемого языка программирования. В рамках исследования был выполнен статический анализ более 200 тысяч приложений, который показал, что наибольшее число связанных с безопасностью ошибок присутствует в коде проектов на ASP, ColdFusion и PHP. Учитывая то, что на PHP написаны платформы Drupal, Joomla и WordPress, доля которых среди систем управления контентом составляет около 70% и на которых работает четверть крупнейших сайтов в Сети, язык PHP указан как приносящий наибольшие проблемы с безопасностью.

В соответствии с опубликованным отчётом, каждые четыре из пяти приложений на PHP, ASP и ColdFusion не проходят как минимум один из десяти тестов OWASP на безопасность. В частности, при тестировании Veracode в 86% всех приложений на PHP выявлена как минимум одна XSS-уязвимость (Cross-Site Scripting), в 56% - проблемы подстановки SQL-запросов, 61% - возможность подстановки кода, 50% - утечки информации, 73% - проблемы с шифрованием, 58% - проблемы с аутентификацией, 67% - выход за пределы дозволенных директорий. В более современных языках, таких как .NET и Java, данные показатели почти в два раза ниже. Что касается тестов OWASP, то все десять тестов прошли только 19% приложений на PHP (для сравнения все тесты OWASP прошли 60% программ на C/C++).

Рейтинг платформ по числу критических уязвимостей в коде выглядит следующим образом:

  • Classic ASP - 1686 проблем на мегабайт кода (из них критических 1112)
  • ColdFusion - 262 проблем на мегабайт кода (из них критических 227)
  • PHP - 184 проблем на мегабайт кода (из них критических 47)
  • Java - 51 проблем на мегабайт кода(из них критических 5.2)
  • .NET - 32 проблем на мегабайт кода (из них критических 9.7)
  • C++ - 26 проблем на мегабайт кода (из них критических 8.8)
  • iOS - 23 проблем на мегабайт кода (из них критических 0.9)
  • Android - 11 проблем на мегабайт кода (из них критических 0.4)
  • JavaScript - 8 проблем на мегабайт кода (из них критических 0.09)


  1. Главная ссылка к новости (http://www.marketwired.com/pre...)
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/43458-lang
Ключевые слова: lang, php, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (113) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, омномномнимус (?), 23:52, 04/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +10 +/
    средняя температура по больнице
     
     
  • 2.2, Анончег (?), 00:07, 05/12/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А разве Жабка не победила? Подождём что скажет Изя.
     
  • 2.55, Меломан1 (?), 19:16, 05/12/2015 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Всегда считал, что PHP это лазейка для злоумышленников, а по этой статистике оказывается все не так плохо. А сайты на Microsoft ASP и .NET хоть и имеют дырявый код, но вломов практически нет. И почему-то про HTML5 нет ни слова. Кто как хочет, так и делает статистику. Не объективная статистика.
     
     
  • 3.69, Аноним (-), 13:12, 06/12/2015 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > А сайты на Microsoft ASP и .NET хоть и имеют дырявый код, но вломов практически нет.

    Эффект неуловимого Джо?
    > И почему-то про HTML5 нет ни слова.

    Может быть, это как-то связано с тем, что HTML это НЕ язык программирования?

     
  • 3.113, Аноним (-), 20:01, 08/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > А сайты на Microsoft ASP и .NET хоть и имеют дырявый код, но вломов практически нет.

    Это связано с тем, что очень мало публично доступных ресурсов на этих технологиях. В основном это всё используется в интранетах за семью NATами и без публичных IP.

     

  • 1.3, MPEG LA (ok), 00:08, 05/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +27 +/
    Смешали в кучу языки, платформы и операционные системы. Крутое сравнение
     
  • 1.4, Anonim (??), 00:13, 05/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я даже не слышал о языках программирования Android и iOS. :( А вообще да, JS идеален. Кстати, выборка проводилась ведь в великом и ужасном вебе, никаких низменных технологий прикладного программирования не попало в эту великолепную выборку, я надеюсь?
     
     
  • 2.12, Аноним (-), 00:46, 05/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >> Android

    Dalvik/ART же (да, это не совсем JAVA, если кто не знал).

    >> iOS

    Objective-C, не?

     
     
  • 3.14, Дмитрий (??), 00:58, 05/12/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    У меня есть коллега программист, который по роду службы пишет исключительно на C++ под Андроид. Для него это просто Линукс.
     
  • 3.28, Нанобот (ok), 10:27, 05/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >> iOS
    >Objective-C, не?

    не. разница такая же, как между системным блоком и процессором

     
     
  • 4.39, Аноним (-), 12:50, 05/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    А ведь многие домохозяйки называют процессором именно системный блок.
     
     
  • 5.60, Stax (ok), 00:04, 06/12/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Домохозяйки и монитор "компьютером" считали, мониторы плоскими не стали.
    Впрочем их фантазии-таки были воплощены в лице iMac :)
     
  • 5.108, анон с лора (?), 10:09, 08/12/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    О, вот и поколение соросовских учебников подтянулось. "Процессор" - сокращение от "процессорный блок" (прикинь, раньше он не был "системным"), и порождено оно отнюдь не домохозяйками.
     
  • 5.119, rytiutio (?), 10:50, 08/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    "А ведь многие домохозяйки называют процессором именно системный блок."

    Всё правильно они называют, со своей т. зрения. Во вселенной домохощяек действительно есть неведомый жителям айтишной "Фселенной", кухонный процессор - а все что зудит и вибрирует как процессор кухни - этот процессор и есть. Тут ньютоновская космология заканчивается и начинается квантовая относительность в виде текстового процессора, запущенного на системнике кухонного, дабы чиркуть пару строк безотрывно от сериала.

     
  • 4.45, Аноним (-), 14:52, 05/12/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Как бы кроме ЯЗЫКА есть еще среда исполнения и/или виртуальная машина. Сам по себе голый язык неинтересен в плане оценки безопасности. Ваш, КО.
     

  • 1.5, A.Stahl (ok), 00:14, 05/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Ява-программисты настолько тупы что даже при всех своих проверках диапазонов, мусоросборщиках и прочих костылях пишут в 2 раза больше ахинеи, чем плюсовики, которым приходится следить за бОльшим количеством нюансов.
    Всё ясно.
    Не ясно только что такое iOS и Android в этой таблице. Предлагаю эти данные игнорировать.
     
     
  • 2.8, all_glory_to_the_hypnotoad (ok), 00:27, 05/12/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Не ясно только что такое iOS и Android в этой таблице. Предлагаю эти данные игнорировать.

    всё просто, там и так данные пользователей п..ся вендором, потому чать ошибок в приложениях отсутствует как класс.

     
  • 2.32, qwerty (??), 10:49, 05/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Да ладно. =) Что там за проблемы с безопасностью на Spring или EJB? Все SQL запросы экранированы или вообще на Criteria API. Все проверки это дело коллекций на этапе компиляции, а скорее даже в самой IDE. Работы с null в идеале нет совсем, как и преобразование типов. Если неправильно разграничивают права доступа в веб-приложениях, то это уже просто невнимательность.
    Пожалуй ошибки могут быть только в синхронизации (лишняя или её отсутствие), чтении бинарных данных без фиксированного шага и проверки длины массива и подобном. Правда как допустить ошибку используя встроенный фрэймворк для работы с потоками вместо wait/notify не совсем понятно.
     
     
  • 3.46, qwerty (??), 15:18, 05/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Ещё можно отметить узкие места в Generics (шаблоны по Cи-шному), там неоднозначность бывает при перегрузке функций, неоднозначность при перегрузке методом в совместимыми типами параметров. Использование велосипедов вместо встроенных инструментов, которые внутри часто используют native реализации функций на C/C++. Использование более тяжелых операция вместо легких аналогов (в основном при работе со строками или Stream) Конечно можно ещё отметить незакрытие close() потоков/ресурсов, но это слишком простая операция.
     
     
  • 4.109, Кирилл (??), 16:35, 08/12/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Обобщения Явы не имеют ничего общего с шаблонами ЦПП.
     
  • 2.40, Аноним (-), 12:57, 05/12/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Если выкинуть из списка 7-ю и 8-ю строчки, то вполне себе адекватная оценка.
     
     
  • 3.43, all_glory_to_the_hypnotoad (ok), 13:11, 05/12/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Если выкинуть из списка 7-ю и 8-ю строчки

    Это то в тексте который состоит всего из 3х строчек? Ну вот так и получаются странные вещи у разработчиков которые считают что за них должны думать gc, ide и т.д.

     
     
  • 4.94, GrammarNarziss (?), 08:50, 07/12/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    "из трёх", позорище
     
  • 2.47, Аноним (-), 15:30, 05/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Наверное плюсы более многословны чем java (а оценка привязана к размеру кода). Но все равно как-то очень большой разрыв получается.
     
     
  • 3.49, all_glory_to_the_hypnotoad (ok), 15:55, 05/12/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Наверное плюсы более многословны чем java

    не придумали ещё более многословного фреймворка с традициями разработки на нём кода чем ява.

     
     
  • 4.54, lolka (?), 19:03, 05/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    На ABAP'е программировать не доводилось?
     
  • 2.96, Michael Shigorin (ok), 11:04, 07/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >  Ява-программисты настолько тупы

    Знаю весьма умных явистов.  Но сам язык, как мне кажется, изначально дизайнили более под манагеров и предсказуемые (пусть огромные, пусть толпой) сроки.

     
  • 2.98, Аноним (-), 11:10, 07/12/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    При этом по критическим ошибкам плюсы обгоняют.
    Так же веселит наезд на java в первой строчке таблицы...
     

  • 1.6, тоже Аноним (ok), 00:15, 05/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Интересно, как считали "все приложения на PHP". Если каждую Джумлу и каждый ВордПресс на каждом сайте за отдельное приложение - странно, что статистика уязвимостей не уперлась в 99,9999...
     
  • 1.7, all_glory_to_the_hypnotoad (ok), 00:26, 05/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > наибольшее число связанных с безопасностью ошибок, присутствует в коде проектов на ASP, ColdFusion и PHP ... PHP указан как приносящий наибольшие проблемы с безопасностью.

    Вот так новость.

     
  • 1.9, АнониМ (ok), 00:32, 05/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    зачем эту рекламную хню сюда тащить?
     
  • 1.10, Аноним (-), 00:41, 05/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А руби где?
     
     
  • 2.11, A.Stahl (ok), 00:46, 05/12/2015 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Хреновый из тебя поэт, если ты не знаешь где...
     
  • 2.56, Аноним (-), 20:24, 05/12/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ... и Perl
     
  • 2.65, robux (ok), 08:09, 06/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    ... и Python
     
     
  • 3.68, myhand (ok), 12:21, 06/12/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ынтырпрайс не пишет на python - он пишет на пыхыпы.
     
  • 3.97, Michael Shigorin (ok), 11:06, 07/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > А руби где?
    > ... и Perl
    > ... и Python

    Либо не участвовали в забеге, либо не победили.  Даже не знаю, чему больше радоваться (это если принимать данные всерьёз, не имея собственных).

     
     
  • 4.102, myhand (ok), 15:46, 07/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Либо не участвовали в забеге, либо не победили.

    It summarizes information about applications written in 11 of the most popular programming languages, including Java, .NET, .iOS, Android, C/C++, JavaScript, PHP, ColdFusion, Ruby and COBOL.

    Руби точно есть.

     
     
  • 5.104, Michael Shigorin (ok), 20:30, 07/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Руби точно есть.

    Да, уже позже заметил, но всяко спасибо.

     

  • 1.13, Аноним (-), 00:49, 05/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Все на раст!
     
     
  • 2.41, Аноним (-), 13:02, 05/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Ага, и рекламный слоган можно: "Кто не перешёл на раст, тот - ...!" Ну или наоборот: "Кто сидит на раст, тот - ...!" Это уж кому как нравится:)
     
     
  • 3.63, Аноним (-), 03:55, 06/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    больше для свифта подходит, не?
     

  • 1.15, Ordu (ok), 01:12, 05/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Я вот не въехал, на каком основании они делают вывод о причинно-следственной связи? Они тупо посчитали какую-то статистику, исходя из наблюдений, но... Допустим, в C++ меньше приложений имеют проблемы с криптографией -- это потому что C++ программисты лучше владеют криптографическими либами, или потому что C++ программисты реже пользуются криптографией?
    Короче "британские учёные постановили..."
     
     
  • 2.24, all_glory_to_the_hypnotoad (ok), 03:54, 05/12/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Допустим, в C++ меньше приложений имеют проблемы с криптографией -- это потому что C++ программисты лучше владеют криптографическими либами, или потому что C++ программисты реже пользуются криптографией?

    это потому, что с/с++ инженеры имеют бОльший профессиональный кругозор и в общем он качественно глубже остальных. "проблема с криптографией" заключается в неправильном дизайне фичи. Была тут недавно новость о вирусе который шифрует диск и следом новость о том как автор налажал - пример как можно правильно впоспользоваться библиотекой и полностью свести на нет использование криптографии в приложении. Хотя, конечно, авторы обзора могли подразумевать что угодно.

     
     
  • 3.52, Ordu (ok), 17:48, 05/12/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > это потому, что с/с++ инженеры имеют ...

    Да-да, и я о том же. Можно придумать тысячи различных объяснений корреляции. Но такие фантазии чреваты. Если посмотреть на статистику пожаров, можно увидеть в ней прямую корреляцию, связь между количеством пожарных расчётов, тушивших пожар, и ущербом причинённым пожаром. Но попытка заменить связь корреляционную на причинно-следственную грозит тем, что мы придём к выводу, что присутствие пожарных на пожаре увеличивает ущерб. Вот Veracode, судя по использованию глагола affect, делает именно это. А вы втираете мне тут что-то про "профессиональный кругозор".

     
     
  • 4.62, all_glory_to_the_hypnotoad (ok), 02:28, 06/12/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Чревато бывает если объяснение придумано не мной, а какими-то другими людьми Во... большой текст свёрнут, показать
     
     
  • 5.73, Ordu (ok), 13:59, 06/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    То есть, когда вы сами подменяете наблюдаемую корреляцию причинно-следственной с... большой текст свёрнут, показать
     
     
  • 6.81, all_glory_to_the_hypnotoad (ok), 19:51, 06/12/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Факт нельзя подменить, его можно только дополнить И вы правильно делаете, что п... большой текст свёрнут, показать
     
     
  • 7.83, Ordu (ok), 22:06, 06/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Где вы здесь видите факт Статистика -- это не факт, а результат обработки факто... большой текст свёрнут, показать
     
  • 3.110, Кирилл (??), 16:39, 08/12/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Допустим, в C++ меньше приложений имеют проблемы с криптографией -- это потому что C++ программисты лучше владеют криптографическими либами, или потому что C++ программисты реже пользуются криптографией?
    > это потому, что с/с++ инженеры имеют бОльший профессиональный кругозор

    С чего вы это взяли? Это только в рф считается, что уметь чистить зубы ректально это больше знать о чистке зубов.

     

  • 1.16, george (??), 01:19, 05/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Реклама джаваскрипта? Из которого рано или поздно все равно уходит любой программер который таки научился нечто большее чем alert('HelloWorld') ? Что то я не уверен в объективности данных
     
     
  • 2.26, Аноним (-), 07:50, 05/12/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    кстати, из js потихоньку делают приличный язык. Переменные с нормальной видимостью, константы, интерполяция строк, ленивые вычисления, промисы, и т.д.
     
     
  • 3.78, Онотоле (ok), 19:00, 06/12/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Почти все, кроме ленивый вычислений можно было делать и на старом яваскрипте, а yield появился скорей больше для того чтобы все таки избавиться от калбеков.
     
     
  • 4.85, george (??), 22:31, 06/12/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Почти все, кроме ленивый вычислений можно было делать и на старом яваскрипте,
    > а yield появился скорей больше для того чтобы все таки избавиться
    > от калбеков.

    А по моему таки коллбеки очень мощная технология, не даром же она перекочевала еще и в пхп, что в принципе вообще редкость чтобы из жабаскрипта хоть чтото хоть куда то перекочевало.

     
     
  • 5.100, Ури (?), 14:19, 07/12/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В мире программирования это еще 50 лет назад называлось лямбдами.

    Колбеки, бля. Хотя что я хочу от джавоскриптеров...

     
     
  • 6.101, ... (?), 15:40, 07/12/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Угу.
    А за пределами лиспа и, до не таких далеких времен, всей изотеричной функциональщины, можно пример?
    В С никогда не слышал чтоб указатели на функцию лямбдами звали. А вот как callback-и  их используют.
    В С++ лямбды завезли не так давно, а не к ночи помянутый MFC на callback-ах таки был.
    В Java интерфейсами как callback-ами пользовались, и про лямбды тоже не так давно узнали.
    В Python лямды есть. Но чтобы пользовались ими как call-back-ами - не видел. Правда не так много я его видел.

    Так что callback-и далеко не всегда лямбды. По моему мнению, конечно.

     
  • 6.103, george (??), 15:46, 07/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Лямбды это лямбды, а коллбеки это коллбеки, не путайте кислое с пресным
     
  • 3.84, george (??), 22:29, 06/12/2015 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Да, я  с вами согласен, жабаскрипт стоял мертвым камнем лет так эдак с десять(снежок на нем рисовали, и прочие свистоперделки), и сейчас действительно его начали развивать, по крайней мере мне последняя редакция ECMA script понравилась, понемногу присматриваюсь, вдруг таки разовьется в полноценный язык, но пока я всеже не готов тратить свое время и остаюсь преверженцем class based объектной ориентированности(С++/Java/PHP) прототипы как то не мое.
     
  • 2.33, qwerty (??), 10:51, 05/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Реклама джаваскрипта? Из которого рано или поздно все равно уходит любой программер
    > который таки научился нечто большее чем alert('HelloWorld') ? Что то я
    > не уверен в объективности данных

    Забавное утверждение учитывая появление HTML5 приложений популярность которых только растёт с каждым днем.

     
     
  • 3.86, george (??), 22:33, 06/12/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Реклама джаваскрипта? Из которого рано или поздно все равно уходит любой программер
    >> который таки научился нечто большее чем alert('HelloWorld') ? Что то я
    >> не уверен в объективности данных
    > Забавное утверждение учитывая появление HTML5 приложений популярность которых только
    > растёт с каждым днем.

    Какое отношение имеет HTML5 к джаваскрипту?

     
  • 2.34, qwerty (??), 10:51, 05/12/2015 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Реклама джаваскрипта? Из которого рано или поздно все равно уходит любой программер
    > который таки научился нечто большее чем alert('HelloWorld') ? Что то я
    > не уверен в объективности данных

    FirefoxOS значит это тоже Hello World? Или сервер на node.js?

     
     
  • 3.87, george (??), 22:37, 06/12/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Реклама джаваскрипта? Из которого рано или поздно все равно уходит любой программер
    >> который таки научился нечто большее чем alert('HelloWorld') ? Что то я
    >> не уверен в объективности данных
    > FirefoxOS значит это тоже Hello World? Или сервер на node.js?

    А еще есть Node OS для особо утонченных душевных организаций) Nodejs - очень узкоспециализированная вещь, и лично я ее не считаю конкурентом полноценному веб серверу, это скорее развитие идеи разделения веб приложений на фронт енд и бек енд. Еще могли сюда же добавить монгу, если уж зашла речь о альтернативных к LAMP платформам.

     
  • 3.91, george (??), 00:38, 07/12/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Реклама джаваскрипта? Из которого рано или поздно все равно уходит любой программер
    >> который таки научился нечто большее чем alert('HelloWorld') ? Что то я
    >> не уверен в объективности данных
    > FirefoxOS значит это тоже Hello World? Или сервер на node.js?

    И к слову о Firefox OS он реализован на C++ и Java а своистоперделки да(которые если даже выпилить операционка продолжит загружаться) - на жабаскрипте

     
     
  • 4.92, george (??), 00:47, 07/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >>> Реклама джаваскрипта? Из которого рано или поздно все равно уходит любой программер
    >>> который таки научился нечто большее чем alert('HelloWorld') ? Что то я
    >>> не уверен в объективности данных
    >> FirefoxOS значит это тоже Hello World? Или сервер на node.js?
    > И к слову о Firefox OS он реализован на C++ и Java
    > а своистоперделки да(которые если даже выпилить операционка продолжит загружаться) - на
    > жабаскрипте

    И нода кстати ноже написана на сиплюсах, другое дело что она поддерживает синтаксис джаваскрипта, но причем тут это я что то с трудом понимаю.

     

  • 1.18, Аноним (-), 01:38, 05/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    слесаря тоже считают что самая ломающаяся машина - Урал

    здесь показан рейтинг не безопасности а распространённости

     
     
  • 2.19, Аноним (-), 01:55, 05/12/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    То, что PHP и JS в разных углах, не смутило? Отличная логика!
     
     
  • 3.29, анонимус (??), 10:42, 05/12/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А что нода уже набрала такую-же распространенность как и php? Что-то я не вижу.
     
     
  • 4.31, Аноним (-), 10:47, 05/12/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это здесь причем? Он про популярность языков, а не платформ.
     

  • 1.20, L29Ah (?), 02:07, 05/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > JavaScript - 8 проблем на мегабайт кода (из них критических 0.09)

    Объясните мне, что это за попугаи. Пока в целом выглядит как бред робомаркетолога.

     
     
  • 2.21, L29Ah (?), 02:26, 05/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Что нажать чтобы скачать raw data?
     
  • 2.79, Онотоле (ok), 19:14, 06/12/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну так на JS UI пилят, какие критические проблемы могут быть с ним?
     

  • 1.25, Виталий Паляница (?), 04:22, 05/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Я правильно понял, JSP засунул всех в зад?
     
     
  • 2.30, Нанобот (ok), 10:46, 05/12/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    после того, как они свои замеры поделили на мегабайт кода, результат стал близкий к random()
    так что, отвечая на твой вопрос: нет, ты неправильно понял
     

  • 1.27, Disaron (??), 09:39, 05/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Отчет почитать, так у PHP самое высокое качество кода. ага.

    Маркетологи они такие маркетологи.

     
  • 1.35, Alex (??), 11:13, 05/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Проблем не приносит то, что широко не используется. Всё логично.
     
  • 1.36, Аноним (-), 12:23, 05/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > JavaScript - 8 проблем на мегабайт кода (из них критических 0.09)

    Это потому что реальная безопасность всё равно реалищуется на сервере, а не в браузере?

     
     
  • 2.38, Аноним (-), 12:40, 05/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    А если бэкенд на node.js например?
     
     
  • 3.80, Онотоле (ok), 19:16, 06/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Он только только стал популярным, бэкэнд на ноде, да и большой серьезности пока не обрел.
     
  • 3.88, george (??), 22:38, 06/12/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А если бэкенд на node.js например?

    Ага, и фронтенд на ассемблере))))

     
  • 2.89, george (??), 22:45, 06/12/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> JavaScript - 8 проблем на мегабайт кода (из них критических 0.09)
    > Это потому что реальная безопасность всё равно реалищуется на сервере, а не
    > в браузере?

    Можно даже сказать что не безопасность а вообще вся логика приложения)

     

  • 1.37, FSA (??), 12:38, 05/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А для PHP режим сторогой типизации рассматривали? Он в 7.0 появился.
     
     
  • 2.42, Аноним (-), 13:09, 05/12/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И уже появились тонны приложений эту самую в PHP 7.0 строгую типизацию использующие? Или в чём тогда рассматривать?
     
  • 2.51, Kodir (ok), 16:31, 05/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    похапэхе "строгая типизация" - как запорожцу антикрыло. Поганый язык можно вылечить только полной ампутацией из Тырнета.
     

  • 1.44, Аноним (-), 14:42, 05/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Эрлангу капец?
    А пхп 7й вышел. Он теперь всех поревет!
     
     
  • 2.116, Аноним (-), 22:27, 09/12/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Эрлангу капец?
    > А пхп 7й вышел. Он теперь всех поревет!

    нормально Эрлангу )
    на днях - следующий майор релиз будет с новым(возможно)компилером :)
    он вместе с адой и хаскелем - главный в тройке hardware/software fault-proof/resistant ЯП, подпираемый снизу всеми тремя ветвями паскалей(щитаем модулу-2 за один из них ;)

    на эпл или смаллталк - Большую 24/7/365 HA-систему писать непросто(или на D или на форте ;)
    а на эрланг, если руки(а точнее - голова)привыкнет - можно накатаывать оч. быстро, особенно если готовые наработки/либы есть.

     
     
  • 3.118, Michael Shigorin (ok), 01:34, 10/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > а на эрланг, если руки(а точнее - голова)привыкнет - можно накатаывать оч.
    > быстро, особенно если готовые наработки/либы есть.

    На ём и делали систему управления кластером для "Ломоносова" (доклады были на highload).

     

  • 1.48, nc (ok), 15:35, 05/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    UML должен быть самый безопасный! Нарисовал заказчику диаграмму на доске, а на вопрос "а где же программа" - всегда можно сказать: ну, программа - это же небезопасно! Мы всегда заботимся о безопасности наших клиентов!
     
     
  • 2.117, Аноним (-), 22:29, 09/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > UML должен быть самый безопасный! Нарисовал заказчику диаграмму на доске, а на
    > вопрос "а где же программа" - всегда можно сказать: ну, программа
    > - это же небезопасно! Мы всегда заботимся о безопасности наших клиентов!

    не путаем CASE и ЯП, реализующий "выхлоп" оных, посредством приложения рук программистов, после того как софтверные инженеры потрудились.
    одно - другому не мешает, впрочем и без друг дружки - плохо работает в разработке ПО.


     

  • 1.50, Kodir (ok), 16:30, 05/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    > .NET - 32 проблем
    > C++ - 26

    Чушь собачья. Во-первых, не .NET, а скорее C#, а во-вторых, сипиписная таймбомба сама по себе проблема в 100 баллов! Цэшарп на порядок уменьшает количество тухляка в коде.

     
     
  • 2.57, lolka (?), 21:37, 05/12/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А при программировании пользоваться мозгом не пробовали? Дожились. Выросло поколение, которое не мыслит жизни без сборщика мусора.
     
     
  • 3.105, Аноним (-), 21:31, 07/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Зато потом лет через 5 откапывают дыру в безопасности, которая возникла из-за умелого обращения с указателями.
     
     
  • 4.106, Evgen (??), 07:35, 08/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Зато потом лет через 5 откапывают дыру в безопасности, которая возникла из-за
    > умелого обращения с указателями.

    Если руки кривы и выходят каракули, то авторучка в этом не виновата. Что, трудно свой аллокатор-заглушку сделать, чтобы он показывал утечку памяти? Чего только люди не придумают, лишь бы не учиться грамотной работе с указателями

     
     
  • 5.112, Кирилл (??), 16:44, 08/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >> Зато потом лет через 5 откапывают дыру в безопасности, которая возникла из-за
    >> умелого обращения с указателями.
    > Если руки кривы и выходят каракули, то авторучка в этом не виновата.
    > Что, трудно свой аллокатор-заглушку сделать, чтобы он показывал утечку памяти? Чего
    > только люди не придумают, лишь бы не учиться грамотной работе с
    > указателями

    Потому что ей можно не учиться. И будет работать. И это не косяк неуча, а косяк языка.

     
  • 3.111, Кирилл (??), 16:43, 08/12/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А при программировании пользоваться мозгом не пробовали? Дожились. Выросло поколение,
    > которое не мыслит жизни без сборщика мусора.

    Зачем о нём каждый раз помнить? В чём сакральный смысл?

     

  • 1.53, Аноним (-), 18:43, 05/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    В более современных языках, таких как .NET и Java, данные показатели почти в два раза ниже.

    ММММММ

     
  • 1.58, m_messiah (ok), 22:31, 05/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Интересное соотношение - уязвимости на мегабайт кода. На Си например надо гору кода написать чтобы что-то получить тоже самое, что на одном из вышеперечисленных, но ведь это не может автоматически значить, что он безопаснее (там другие критерии надо использовать)
     
  • 1.59, Аноним (-), 23:22, 05/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    SQL надо было добавить, а то как то не полный обзор.
    PS. Buzinga
     
  • 1.61, Аноно (?), 00:17, 06/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Android и iOS стали языками программирования ... Даешь для корректности сравнения языки Windows и x86!
     
  • 1.64, myhand (ok), 04:05, 06/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    It summarizes information about applications written in 11 of the most popular programming languages, including Java, .NET, .iOS, Android, C/C++, JavaScript, PHP, ColdFusion, Ruby and COBOL.

    COBOL, Карл!

     
     
  • 2.66, ZloySergant (ok), 10:36, 06/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >COBOL, Карл!

    А вы что, не в курсе, что, если считать количество написанных строк на ЯП в год, COBOL все еще самый популярный ЯП в мире? :)

     
     
  • 3.67, myhand (ok), 12:20, 06/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >>COBOL, Карл!
    > А вы что, не в курсе, что, если считать количество написанных строк
    > на ЯП в год, COBOL все еще самый популярный ЯП в мире? :)

    Я конечно слыхал о том, что legacy на COBOL еще весьма живо, но конкретно ваше заявление
    вопиет о пруфлинке.  Не такой уж даже C, к примеру, лаконичный чтоб не уделать
    кобол как бох черепаху количеством быдлокода.

     
     
  • 4.71, ZloySergant (ok), 13:34, 06/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >>>COBOL, Карл!
    >> А вы что, не в курсе, что, если считать количество написанных строк
    >> на ЯП в год, COBOL все еще самый популярный ЯП в мире? :)
    > Я конечно слыхал о том, что legacy на COBOL еще весьма живо,
    > но конкретно ваше заявление
    > вопиет о пруфлинке.  Не такой уж даже C, к примеру, лаконичный
    > чтоб не уделать
    > кобол как бох черепаху количеством быдлокода.

    К примеру:
    http://www.drdobbs.com/architecture-and-design/is-your-next-language-cobol/21

     
     
  • 5.74, myhand (ok), 15:38, 06/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >>>>COBOL, Карл!
    >>> А вы что, не в курсе, что, если считать количество написанных строк
    >>> на ЯП в год, COBOL все еще самый популярный ЯП в мире? :)
    >> [...] вопиет о пруфлинке.  [...]
    > К примеру:
    > http://www.drdobbs.com/architecture-and-design/is-your-next-language-cobol/21

    Вы текст читали, или как обычно?

    Ну где там _сравнение_?  Откуда вообще оценка "Billions of lines of new
    Cobol code"?  Впечатление что эта козявка - из носу целиком.

     
     
  • 6.75, ZloySergant (ok), 16:16, 06/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >>>>>COBOL, Карл!
    >>>> А вы что, не в курсе, что, если считать количество написанных строк
    >>>> на ЯП в год, COBOL все еще самый популярный ЯП в мире? :)
    >>> [...] вопиет о пруфлинке.  [...]
    >> К примеру:
    >> http://www.drdobbs.com/architecture-and-design/is-your-next-language-cobol/21
    > Вы текст читали, или как обычно?

    Читал, и даже имею представление о том, кто его автор.

    > Откуда вообще оценка "Billions of lines of new
    > Cobol code"?  Впечатление что эта козявка - из носу целиком.

    "Козявка" - из доклада Datamonitor за 2008 г. Если название фирмы ничего не говорит - не мои проблемы.

     
     
  • 7.82, myhand (ok), 21:15, 06/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > "Козявка" - из доклада Datamonitor за 2008 г.

    На указанной странице (весь опус лень читать) нет ссылок на доклад, увы (кстати, самая
    поздняя цитированная дата - 1997).  Да мне ж не жалко, просто доказательств (даже в виде
    ссылок на какие-то обзоры) так и не увидел.


     

  • 1.72, Аноним (-), 13:40, 06/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    С каких это пор языки с защитой от переполнения и прочего стали опаснее языков с ручным управлением памяти. Я уже молчу про такие !"языки" как iOS и Android
     
     
  • 2.76, IZh. (?), 17:08, 06/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Подозреваю, что дело тут в пороге вхождения. Кодить на скриптовых и высокоуровневых языках проще, чем на плюсах, вот и кодют тут всякие...

    Можно, например, взять ассемблер -- "опаснее" языка сложнее найти. Шаг вправо, шаг влево, и кирдык. Но из-за его сложности, на нём пишут меньше "программистов". И тщательнее отлаживают. В результате и качество кода выше.

    А если взять всякие PHP/JS/..., где половина кодеров думает "А... ворнинг какой-то. Работает же, и хрен с ним", то чему удивляться?

     
  • 2.77, IZh. (?), 17:11, 06/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Чем проще язык, тем больше соблазна побыстрее "запилить" основной code path. А проверять ошибки будем как-нибудь потом, если время останется. Надо же основные фичи реализовать.
     
     
  • 3.90, george (??), 23:00, 06/12/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я вам так скажу по личному опыту, приходит проджект манагер и говорит - нужно запилить вот такой вот функционал за 3 часа, и совершенно прогнозируемо что в дальнейшем будут и иньекции и кросс сайт скриптинг но всем как обычно. Я за качество кода в противовес количеству, но это противоречит практике большинства веб студий и вообще веб проектов тк они все построены на человекочасах а никак не на качестве кода. Ты можешь юзать серверные плейсхолдеры + именуемые списки входящих индексов вместо mysql_real_escape_string()  и ты получишь 100%ную защиту от инъекций, но после этого скорее всего в вашей фирме отпадут все джуниоры потому как SQL запрос больше не дебажится, и тебя за это просто уволят. Так что дело всеже не в ЯП а в том как его используют.
     

  • 1.99, Licom v salate (?), 11:36, 07/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    влияние безалаберности на выбор языка программирования?
     
     
  • 2.107, Evgen (??), 07:57, 08/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > влияние безалаберности на выбор языка программирования?

    Именно так! Влияние способа заточки ножа на кол-во отрезанных пальцев.
    Идиоты, сэр...

     
  • 2.115, Аноним (-), 22:23, 09/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    дык !
    пэхэпы, жабоскрипт, руби. )
    на бидоне - благодаря JIT недавнему - в теории можно почти на уровне жабы и .нет ваять Небольшие вещицы :) а вот остальное - пц.
     

  • 1.114, Аноним (-), 22:22, 09/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    платформы, языки программирования - смешались кони в кучу.
    причем включая разные реализации друг дружки(feat level) и версии :)
    в целом "высоконадежных" ЯП в списке нету НИ ОДНОГО :)
    и если о умеренном примнении C++ с оговорками там где тербуется "надежность" - можно говорить, то за остальное - канделябром по макушке и "пейсателей" и тех кто их нанял и тех кто всем этим бардаком рулит и владеет(аналогично за ущерб(жизням или леньгам)вследствие - отдельно).
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру