Ifølge rapporten State of Software Security er det 27 prosent risiko innenfor en gitt måned at det vil introduseres en ny sårbarhet i en applikasjon, skriver InfoQ.
Rapporten lages hvert år av Veracode, et selskap som lager verktøy for å skanne programvare for sikkerhetshull. Ved å gå gjennom alle applikasjoner som er skannet på selskapets plattform, har de kunnet avsløre blant annet hvilke programmeringsspråk som brukes i applikasjoner med flest sårbarheter.
Rapporten viser at valg av programmeringsspråk ikke bare har en effekt på hvilke og hvor mange feil som oppstår, men også hvor raskt feilene fikses.
Sårbarheter i nesten alt
Nesten 32 prosent av applikasjoner inneholder sårbarheter ved første skanning. Etter fem år er det funnet minst én feil i nesten 70 prosent av applikasjonene.
I gjennomsnitt har fire av fem Java- og .NET-applikasjoner minst én feil, mens det for JavaScript-applikasjoner er rett over halvparten som har feil.
Feilene i Java- og .NET-applikasjoner er gjerne mer alvorlige enn for JavaScript. Antallet alvorlige sikkerhetsfeil er nesten dobbelt så høyt for Java- og .NET-applikasjoner sammenlignet med JavaScript.
C++ blir kritisert for sikkerheten, og nå åpner skaperen for endringer
Viktig å fikse feil fort
Ifølge rapporten er det også store forskjeller mellom språkene når det gjelder hvor raskt sikkerhetsfeil blir fikset.
- For Java er det 65,3 prosent sannsynlighet for at et sikkerhetshull fortsatt eksisterer etter tre måneder.
- For .NET er tallet 59,2 prosent.
- Mens JavaScript ligger på 54,1 prosent.
Det forventes å ta 243 dager å fikse halvparten av feilene i Java-applikasjoner, mens det tar bare 116 dager for JavaScript og 158 for .Net.
Forfatterne av rapporten anbefaler å prioritere å fikse sårbarheter så fort som mulig, ettersom feil har en tendens til å bygge seg opp over tid. Automatisering, testing og opplæring av utviklerne er noen av tiltakene som foreslås.
