Безопасность сайта практически не зависит от языка программирования

Компания WhiteHat Security опубликовала статистический отчет о количестве уязвимостей в веб-приложениях “2014 Website Security Statistics Report”. Особое внимание авторы уделили фундаментальному вопросу: какой язык программирования или фреймворк следует выбрать с самого начала? Часто выбор делается в силу разных причин, а безопасность не является главным приоритетом. Разработчики выбирают более привычные и знакомые инструменты, учитывают последние модные тренды, производительность фреймворков и стоимость поддержки.

По результатам анализа 30 000 веб-сайтов компания WhiteHat Security составила список самых популярных языков веб-программирования и платформ для веб-приложений. Среди них лидируют .Net (28,1%), Java (24,9%) и ASP (15,9%).

Исследование показало, что среднее количество уязвимостей на одно веб-приложение практически не зависит от выбранного фреймворка. Так, у приложений на .Net выявлено в среднем 11,36 уязвимостей на слот, Java — 11,32, ASP — 10,98. Самые «безопасные» — сайты на Perl (7) и ColdFusion (6). Как видим, разница небольшая и ее можно считать не принципиальной.

При этом у каждой платформы — свои слабые места. Так, 10,59% всех сайтов на ColdFusion оказались уязвимы перед SQL-инъекцией, а среди .Net — только 5,78%. Сайты на Perl лидируют по подверженности уязвимости XSS: 67%, что гораздо выше среднего.

Интересно, что выбор языка программирования сильно зависит от отрасли, для которой создается сайт. Например, финансовые компании, организации здравоохранения и страховые компании в 75% случаев выбирают ASP, сайты игровой направленности в 86% случаев работают на PHP. Банковская индустрия раскололась между .Net (55%) и Java (36%). Представители промышленного сектора выбирают Perl (43%), а технологические компании — PHP (35%).