The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Оценка типичных проблем с безопасностью для различных языков программирования

29.03.2019 10:20

Компания WhiteSource опубликовала результаты анализа распределения уязвимостей в зависимости от применяемых языков программирования. При рассмотрении общего распределения уязвимостей в открытых проектах, 47% всех выявленных проблем с безопасностью затрагивают программы написанные на языке Си, 17% на PHP, 12% на Java и 11% на JavaScript. Доля опасных проблем (CVSS выше 7) составляет для Си, Python и PHP - около 20%, Java и Ruby - 10%, C++ и JavaScript - 30%.

Данная статистика сильно коррелирует с популярностью того или иного языка и объёмом наработанной кодовой базы. Тем не менее, общие тенденции прослеживаются, например, язык PHP занимает в рейтинге Tiobe седьмое место по популярности, но находится на втором месте по числу уязвимостей в приложениях. Язык Си лидирует по числу уязвимостей в силу своего низкоуровневого характера и простоте допустить ошибку при обработке строк и при работе с памятью.

Некоторые выводы:

  • Активное внедрение автоматизированных систем тестирования, fuzzing-инструментов и программ выплаты вознаграждений за выявление уязвимостей привело к заметному всплеску уязвимостей, выявленных в 2017 и 2018 годах, при этом число опасных уязвимостей за два последних года уменьшилось. В 2017 году заметно возросло число уязвимостей, выявленных в программах на языках Си, JavaScript и PHP. В 2018 году число уязвимостей в программах на языках Си и JavaScript снизилось до показателей прошлых лет, но существенно возросло число уязвимостей, выявленных в программах на Java;

    При сужении выборки только для опасных уязвимостей (CVSS выше 7) динамика за последние два года сохраняется, но становится более заметным вклад C++:

  • Наибольшее число выявленных за последнее время уязвимостей относятся к категориям межсайтового скриптинга (XSS), ошибок при проверке входных данных, неверно выставленных прав доступа/привилегий и утечке информации;
  • Статистика по частоте появления уязвимостей в привязке к языкам программирования:
    • Си: наибольшее число уязвимостей связаны с выходом за допустимые границы буфера, ошибками при проверке корректности входных данных и ненадлежащим управлением ресурсами (Race Condition, двойное освобождение памяти, обращение к данным после освобождения и т.п.). Около 20% выявленных уязвимостей в программах на Си отнесены к категории опасных. Наибольшее число уязвимостей в 2018 году выявлено в ядре Linux, ImageMagic, WireShark и FFmpeg.
    • PHP: межсайтовый скриптинг, подстановка SQL-кода и проблемы связанные с правами доступа и установкой привилегий. Около 20% выявленных уязвимостей отнесены к категории опасных;
    • Java: утечки информации (получение данных без наличия должных прав доступа), ошибки при проверке корректности входных данных и межсайтовый скриптинг (XSS). Около 10% выявленных уязвимостей отнесены к категории опасных;
    • JavaScript: применение ненадёжных криптографических методов (неправильная проверка сертификатов, проблемы со случайными числами, применение скомпрометированных алгоритмов, применение хэшей с коллизиями, передача важных данных в открытом виде), неправильная проверка файловых путей (например, выход за пределы базового каталога через "../") и межсайтовый скриптинг (XSS). Около 30% выявленных уязвимостей отнесены к категории опасных;
    • C++: выход за границу буфера, ошибки при проверке входных данных, утечки информации. Около 30% выявленных уязвимостей отнесены к категории опасных;
    • Python: ошибки при проверке входных данных, проблемы с правами доступа и установкой привилегий, межсайтовый скриптинг (XSS). Около 20% выявленных уязвимостей отнесены к категории опасных;
    • Ruby: межсайтовый скриптинг (XSS), проблемы с правами доступа, ошибки при проверке входных данных. Около 10% выявленных уязвимостей отнесены к категории опасных.


  1. Главная ссылка к новости (https://resources.whitesources...)
  2. OpenNews: Сравнения языков программирования с позиции безопасности написанного на них кода
  3. OpenNews: Рейтинг самых опасных ошибок, зафиксированных в 2009 году
  4. OpenNews: Python поднялся на 3 место в рейтинге языков программирования Tiobe
  5. OpenNews: Неявные свойства языков программирования, которые могут привести к уязвимостям
  6. OpenNews: Рейтинг самых опасных ошибок при создании программ
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/50415-lang
Ключевые слова: lang, vulnerability
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (85) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 11:58, 29/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –6 +/
    про раст намеренно умолчали
     
     
  • 2.2, Аноним (2), 12:02, 29/03/2019 [^] [^^] [^^^] [ответить]  
  • +35 +/
    Власти скрывают правду о Rust и BASIC (его же нет в списке по той же причине?).
     
  • 2.5, anonymous (??), 12:11, 29/03/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Кодовая база ещё слишком незначительна. Да и инструментов для исследования подходящих нет, скорее всего.
     

  • 1.3, Аноним (3), 12:04, 29/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Паскаля нет
    значит он безопасен
     
     
  • 2.6, Аноним (6), 12:15, 29/03/2019 [^] [^^] [^^^] [ответить]  
  • +25 +/
    я на паскале 20 лет назад написал игру, до сих пор никто не взломал
     
     
  • 3.35, Аноним (35), 14:29, 29/03/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Потому что единственная копия записана на дискетку 5'25, которая 20 лет лежит в сейфе и ты ее никому не показывал?
     
     
  • 4.44, Аноним84701 (ok), 15:59, 29/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Потому что единственная копия записана на дискетку 5'25, которая 20 лет лежит в сейфе и ты ее никому не показывал?

    Замени дискету и сейф на запароленый RAR и можешь смело писать "bulletproof software protection, uncracked for years …" (привет автору ExeCryptor ;) )


     
  • 4.50, Anonim (??), 18:51, 29/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    3.5!
     
  • 4.61, axredneck (?), 20:54, 29/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что все копии сгинули
     
  • 4.89, Брат Анон (?), 08:03, 02/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Не камильфо. На кассету МЭК-90!))
     
  • 2.12, proninyaroslav (ok), 12:33, 29/03/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Интересно почему про Go не сказали. Хоть кодовая база не такая обширная, но поделий много (тот же  docker или kubernetes).
     
     
  • 3.28, Аноним (-), 13:27, 29/03/2019 [^] [^^] [^^^] [ответить]  
  • –8 +/
    >тот же  docker или kubernetes

    Go там применяется в качестве заменителя BASH.

     
     
  • 4.43, Аноним (43), 15:51, 29/03/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Даёшь gRPC на баше!
     
  • 4.87, no_like (?), 23:25, 01/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    можно с этого момента поподробнее?
     

  • 1.4, Аноним (4), 12:10, 29/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Похоже на фейковую налитику. Выборка мусор.
     
     
  • 2.7, Аноним (7), 12:21, 29/03/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    То что жаба с 12% и все что выше - красным, а JS с 11% - синим какбы тонко намекает - кто и что хотел сказать.
     
  • 2.14, Аноним (14), 12:38, 29/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Похоже очень. Например, по коммерческой статистике доля венды якобы 80% (и Linux 1%), а по нескольким независимым источникам венды 20% (что ненамного превышает Linux с его 17%).
     
     
  • 3.34, Аноним (34), 14:29, 29/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    63% сидят на маках и хромбуках? Или даже bsd?
     
     
  • 4.36, жека воробьев (?), 14:37, 29/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    видимо андроид и айос
     
     
  • 5.40, Аноним (34), 15:25, 29/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ну тогда он противопоставляет выборку всех устройств вообще выборке только десктопов.
     
  • 3.39, EnemyOfDemocracy (?), 14:54, 29/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Если "независимые источники" перестанут хлебать смузи и проведут опрос не только в своём офисе, картина будет именно 80%/1%.
     
  • 2.22, Нанобот (ok), 13:06, 29/03/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Эксперты опеннета подвергли сомнению выводы экспертов компании whitesource
     
     
  • 3.59, Аноним (59), 20:23, 29/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Да те ваще -- казлы по сравнению с нами, икспердами opennet-а.
     

  • 1.8, Аноним (8), 12:21, 29/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    >Данная статистика сильно коррелирует с популярностью того или иного языка и объёмом наработанной кодовой базы

    Надо было сразу разделить на частоту использования языка, а не сидеть и гадать.

     
     
  • 2.24, Нанобот (ok), 13:16, 29/03/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    и в результате получилась бы бесполезная метрика "количество-ошибок/взятый-с-потолка-процент-популярности". уж лучше пусть останется как есть, так больше полезной информации, а уж разделить одно на другое в случае необходимости большинство читателей сможет самостоятельно
     
     
  • 3.30, Аноним (30), 13:58, 29/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    а так еще более бесполезная статистика.
    такая же как, скажем, "количество абортов по странам" - самый плохой окажется китай, индия, пакистан, а какая-нибудь буркина-фасо будет в топе.
     
  • 2.25, smit (??), 13:17, 29/03/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Данные без нормировки - пальцем в небо.
     

  • 1.10, rustgonewell (?), 12:27, 29/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Взять и переписать всё на Rust!
     
     
  • 2.19, Аноним (19), 12:46, 29/03/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Для начала можно написать на расте хоть что-нибудь полезное, кроме нескольких процентов кода Firefox'а (который, похоже, скоро будет окончательно вытеснен Хромом).
     
     
  • 3.26, J.L. (?), 13:20, 29/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Для начала можно написать на расте хоть что-нибудь полезное, кроме нескольких процентов
    > кода Firefox'а (который, похоже, скоро будет окончательно вытеснен Хромом).

    ну тока что ж было https://www.opennet.dev/opennews/art.shtml?num=50387

     
     
  • 4.29, Аноним (-), 13:30, 29/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Я же сказал "что-нибудь полезное", а не очередной "hello world".
     
     
  • 5.45, Аноним (45), 16:21, 29/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    У вас так себе представление о hello world.
     
  • 2.21, Blind Vic (ok), 13:02, 29/03/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Взять и переписать всё на Rust!

    На Dvast!

     
  • 2.33, VINRARUS (ok), 14:25, 29/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    На shell надёжнее.
     
  • 2.72, Анонимчег (?), 00:37, 31/03/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Взять и переписать всё на Rust!

    ...может только пидa...

     
  • 2.91, Брат Анон (?), 08:06, 02/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    На Обероне же!))
     

  • 1.11, тоже Аноним (ok), 12:30, 29/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +13 +/
    Статистика столь же вздорна, как рейтинг TIOBE.
    Уязвимости ИЩУТ в серьезном коде (это С в первую очередь) и НИКТО НИКОГДА не будет искать в 99% кода, написанного на РНР или JS.
    По факту, эти "конкретные цифры" - примерная оценка риска превращения сферического коня в вакууме в сверхновую.
     
     
  • 2.47, YetAnotherOnanym (ok), 17:11, 29/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > НИКТО НИКОГДА не будет искать в 99% кода, написанного на РНР или JS.

    Доооо... учитывая, что поиметь хомячка (стырить номер кредитки или помайнить крипту) легче всего именно через хакнутый сайт на Пыхе.

     
     
  • 3.48, тоже Аноним (ok), 17:42, 29/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Вот только сайты на Пыхе, взлом которых хотя бы теоретически может окупиться, составляют менее 1% кода, написанного на Пыхе.
    Ломать могут популярные CMS, например. Это ложка соли (причем сплошь и рядом вполне приличной и безопасной) в море говнокода на Пыхе, которым завален интернет.
     
  • 2.49, Аноним (49), 18:15, 29/03/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну, если конь оладает достаточной массой для зажигания термоядерной реакции, то почему нет-то...
     

  • 1.13, Аноним (19), 12:36, 29/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    C++ - это неточная характеристика. Это может быть Си, Си с классами, Си++ 98, С++11/14/17 - и всё это фактически разные языки.
     
     
  • 2.27, J.L. (?), 13:21, 29/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > C++ - это неточная характеристика. Это может быть Си, Си с классами,
    > Си++ 98, С++11/14/17 - и всё это фактически разные языки.

    //оффтоп
    я был лучшего мнения о мире Си*

     
     
  • 3.73, InuYasha (?), 12:31, 31/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Если руки не ижжопы, то одно является суперклассом другого и обратно совместимо. Так что, всякие C++123456 используют немногие программисты. В основном - те, кто хотел и просил новые фичи, и те, кто только начал изучать ЯП.
     

  • 1.18, Андрей (??), 12:43, 29/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Заодно видно, что в отличие от Си открытого софта на Си++ совсем немного.
     
     
  • 2.20, Аноним (19), 12:50, 29/03/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Ну да, всякие там Хромиумы, Огнелисы, Электроны, нодджэйэсы с джавамашинами, Либреофисы и прочие КДЕ с Qt не в счёт.
     
     
  • 3.67, Андрей (??), 01:34, 30/03/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Большие legacy проекты. Но на этом список и заканчивается.
     

  • 1.23, KonstantinB (ok), 13:06, 29/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    На Visual Basic-е 0%. Срочно все переходим на Visual Basic!
     
  • 1.31, mumu (ok), 14:04, 29/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Для C++ в точности тот же набор ошибок, что и для C (даже порядок примерно тот же). При этом он ничуть не менее популярный. Но в рейтинге почему-то значительно ниже.
    Я чего-то не понимаю, для него доступны лучшие анализаторы или что?
     
     
  • 2.32, Аноним (-), 14:24, 29/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Просто те ошибки в "С++", вроде выхода за границы буфера, на самом деле из подмножества Си. Если не писать на С++ как на Си, то и ошибок этих нет.
     
     
  • 3.54, Аноним (59), 19:31, 29/03/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Процедурное программирование до сих пор остаётся самым верным направлением для нынешних ЭВМ, поэтому не язык виноват, а его дырозатыкательное использование. Если кому-то нужны классы, то тут вы совершенно правы: используйте Си++, но это частный случай. В остальных -- только Си, только истинна!
     
     
  • 4.70, Mr. Smith (?), 17:50, 30/03/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Процедурное программирование до сих пор остаётся самым верным направлением для нынешних
    > ЭВМ, поэтому не язык виноват, а его дырозатыкательное использование. Если кому-то
    > нужны классы, то тут вы совершенно правы: используйте Си++, но это
    > частный случай. В остальных -- только Си, только истинна!
    >Why, Mr. Anderson, why? Why, why do you do it? Why, why get up? Why keep fighting? Do you believe you're fighting for something, for more than your survival? Can you tell me what it is, do you even know? Is it freedom or truth, perhaps peace — could it be for love? Illusions, Mr. Anderson, vagaries of perception. Temporary constructs of a feeble human intellect trying desperately to justify an existence that is without meaning or purpose. And all of them as artificial as the Matrix itself. Although, only a human mind could invent something as insipid as love. You must be able to see it, Mr. Anderson, you must know it by now! You can't win, it's pointless to keep fighting! Why, Mr. Anderson, why, why do you persist?
     

  • 1.37, Аноним (37), 14:40, 29/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну, то есть, самый безопасный язык - Ruby.... Логично, что он так популярен для веба.
     
     
  • 2.46, аноним3 (?), 16:58, 29/03/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    линь тоже считался очень безопасной системой пока его не начали использовать на 80% серверов в интернете))) а потом... потом начался поиск дыр. и как мы видим идет до сих пор. одно хорошо пока никто не додумался переписать политику прав доступа иначе уже гуляли бы вирусы и антивири под линя повсюду)) а мак в свое время тоже не знал , что такое антивирь(еще на powerG), но перевели на интелл и вуаля , стал не на много лучше винды.))
     
     
  • 3.57, анонн (?), 20:04, 29/03/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > линь тоже считался очень безопасной системой пока его не начали использовать на
    > 80% серверов в интернете))) а потом...

    Сначала, для использования на 80% серверов увеличили на 800% кодовую базу на 146% худшего качества кодом (цифры, как и у предыдущего анонима, взяты от балды).
    Ну и про "считался очень безопасной" - это все же не в нашей вселенной.


     
     
  • 4.63, аноним3 (?), 22:23, 29/03/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    а я о чем. безопасно только выключить свет)) и то не всегда)) чем реже используется ось, тем меньше знают о её дырах. а они есть всегда. если не в самой программе, то в её стыковке с другими. так что нет безопасных программ, как и языков программирования. в си/с++ так много ошибок выявили только потому , что на них написана подавляющая часть кода. ну и они более требовательны к знанию языка и железа. это как управлять авто с механикой или автоматом. и то и то едет, но на механике ты управляешь действительно полностью и сам. так что много косяков от ручного управления теми , кто недостаточно готов.)
     
     
  • 5.64, анонн (?), 22:38, 29/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > это как управлять авто с механикой
    > или автоматом. и то и то едет, но на механике ты
    > управляешь действительно полностью и сам.

    Угу, без синхронизатора, с подгазовкой и двойным переключением … ох уж эти аналогии.

     
     
  • 6.69, аноним3 (?), 16:20, 30/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    нас и такому обучали к слову. и перегазовку и без синхронизатора могем)) кстати автоматы до сих пор не перевариваю. даже современные. ну не люблю я их. хотя на питоне писать проще и быстрее, правда если это не касается глубоко системных утилит. а прикладные оч здорово. особенно связанное с расчетами и формулами. ну просто милое дело.
     
     
  • 7.75, лютый жабист__ (?), 08:12, 01/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >нас и такому обучали к слову. и перегазовку и без синхронизатора могем

    Да... ещё умеешь тормозить прерывисто круче 4-канальной АБС (у тебя наверное 4 педали тормоза стоит). И "газ-тормоз" и прочие куль-приёмчики из 40-х годов активно применяешь. Зачем останавливаться на трансмиссии, надо все новомодные системы выкорчевать.

     
     
  • 8.76, Аноним (76), 10:09, 01/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Как-то ехали мы по М10 2-го января, красота - трасса пустая, ляпота Ехали мы по... большой текст свёрнут, показать
     
     
  • 9.81, лютый жабист__ (?), 11:41, 01/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    повеяло прохладой виноват конечно автомат ... текст свёрнут, показать
     
     
  • 10.84, Аноним (76), 14:04, 01/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нет, виноваты дураки, которые думают, что всякие АБСы и прочие бортовые компьют... текст свёрнут, показать
     
  • 7.82, Аноним (-), 12:07, 01/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > и перегазовку и без синхронизатора могем))

    Только не на чем уже демонстрировать. Разче что на велосипедах.

     

  • 1.38, жека воробьев (?), 14:51, 29/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    надо запретить писать на си/сипп и пхп
     
     
  • 2.41, Совершенно другой аноним (?), 15:32, 29/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    а лучше - вообще запретить писать. на чём либо и кому-либо. Вот увидите - сразу ошибки все исчезнут.
     
     
  • 3.55, тов. Майор (?), 19:51, 29/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >а лучше - вообще запретить писать

    Писать нужно мне.

     
     
  • 4.77, Аноним (76), 10:09, 01/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А стучать можно? Азбукой Морзе?
     
  • 4.79, Совершенно другой аноним (?), 10:19, 01/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Да Вы, товарищ Майор, вроде и так пишете.
     
  • 2.42, аноним3 (?), 15:36, 29/03/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    и все вернется в прошлый век)) потому как не будет ни операционных систем, ни системных программ под них)) все ведь строится на си/с++. выкинь и все что останется это веб без программ для его использования. мда наделали языков , а дельного как тот же си/с++ так и нет.
     
     
  • 3.65, Вася (??), 23:04, 29/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Пару новостей назад было про микроядерную ОС на ржавчине, так что не надо тут вашего елея религиозного про си
     
     
  • 4.66, аноним3 (?), 00:43, 30/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    читал. но не верю я в такие чудеса как безопасное программирование. всегда найдется дыра.
     
     
  • 5.74, НяшМяш (ok), 17:44, 31/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Безопасного программирования даже в теории не существует. А вот безопасный язык теоретически существует. И некоторые ныне существующие языки даже приближаются к этому званию.
     
     
  • 6.88, bOOster (ok), 07:05, 02/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Даже теоретически не существует. Пока человек будет разрабатывать язык программирования - всегда найдется дыра.
     
  • 4.80, Совершенно другой аноним (?), 10:24, 01/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Пару новостей назад было про микроядерную ОС на ржавчине, так что не
    > надо тут вашего елея религиозного про си

    Микроядерных ОС и на C хватает: начиная с Minix, заканчивая QNX и используются они гораздо более активно новодела на Rust.

     

  • 1.51, Аноним (51), 19:24, 29/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    FORTRAN и перфокарты спасут мир! Назад в будущее!
     
  • 1.52, Аноним (51), 19:26, 29/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Си критикует дураки; настоящие программисты преклоняются перед Си и используют его благоговейно и с любовью.
     
     
  • 2.56, анонн (?), 19:59, 29/03/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >настоящие программисты-JSники, преклоняются перед Си с благоговением и любовью, ведь на большее их знаний матчасти не хватает.

    поправил, не благодарите.


     
     
  • 3.92, неважно кто (?), 23:26, 02/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    - сказал обиженный Java-погромист...
     

  • 1.60, Аноним (59), 20:25, 29/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А мне очень нравится обращаться к ячейкам памяти массива -- это просто высшее удовольствие: работать вроде бы на высоком уровне по сравнению с ассемблером. Си -- это чань, а Карниган и Ричи -- это идеал программистов.  
     
  • 1.62, Онаним (?), 21:22, 29/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Тут бы неплохо нормализацию к объёму кода на данных языках. А то получается, что в коде на сях и пыхе дыр дофигища, но вот незадача - на этих языках и кода на порядок, если не на порядки (в случае сравнения с какими-нибудь рубями) больше.
     
  • 1.68, Аноним (68), 15:25, 30/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Какие-то чуваки наговнякали код, проигнорировав всё изобилие средств языка для написания безопасного кода. Другие чуваки посмотрели на код первых и такие: "О, какой небезопасный язык программирования!". И все на полном серьёзе это обсуждают?
     
     
  • 2.78, Аноним (76), 10:12, 01/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Опять же - как ныть в энторнетиках про овнокодеров - так каждый горазд, а как спросишь кто будет ментором у йуного падавана - так разом все попрятались.
     
  • 2.85, OpenEcho (?), 20:52, 01/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    самый толковый пост на весь топик. Жаль что можно ставить только один плюс
     

  • 1.71, Деннис Ритчи (ok), 22:59, 30/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А разве не пхп и жс должны за первое место спорить?
     
     
  • 2.86, Аноним84701 (ok), 21:15, 01/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А разве не пхп и жс должны за первое место спорить?

    Напомните пожалуйста, PHP и JS уже "selfhosted" или все еще "уже почти да, но все еще нет"?
    И значит ли это , что дыры в интерпретаторе JS (пых мне искать лень), как и всей той куче (под)компонентов, благодаря которым JS вообще запускается -- проблемы  плюсанутых-сишников и никак не затрагивают гордых архитекторов приложений в мировой паутине ☺?

    https://www.cvedetails.com/vulnerability-list/vendor_id-1224/product_id-17734/
    > which allows remote attackers to cause a denial of service (memory corruption) or possibly have unspecified other impact via crafted JavaScript code.
    > mishandles external string sizes, which allows remote attackers to cause a denial of service (out-of-bounds read) via crafted JavaScript code.

    https://www.cvedetails.com/cve/CVE-2013-6640/
    > he DehoistArrayIndex function in hydrogen-dehoist.cc (aka hydrogen.cc) in Google V8 before 3.22.24.7, as used in Google Chrome before 31.0.1650.63, allows remote attackers to cause a denial of service (out-of-bounds read) via JavaScript code that sets a variable to the value of an array element with a crafted index.
    >

     

  • 1.83, Георгий (??), 12:14, 01/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Сейчас бы публиковать ненормированную статистику по языкам.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру