Sicher oder nicht sicher, das ist hier die Frage!

WhiteSource Report: Das sind die sichersten Programmiersprachen

Katharina Degenmann

© Shutterstock / Burdun IIiya

Reports und Indizes über die beste, die schlechteste und meist verwendete Programmiersprache gibt es en masse. Aber welche ist die sicherste? Mit dieser Frage befasst sich der WhiteSource State of Open Source Vulnerability Management Report. Wir haben uns unter anderem die Schwachstellen von Java genauer angesehen.

Wer einen Raum voller Softwareentwickler etwas beleben möchte, sollte sie einfach nach der besten Programmiersprache fragen. Wahrscheinlich wird dann eine lebhafte Debatte über alle Vor- und Nachteile, Effizienz und Anwendbarkeit ausbrechen. Aber auch der Sicherheitsaspekt spielt im Kampf um des Entwicklers liebstes Werkzeug eine zentrale Rolle.

Aus diesem Grund hat das Unternehmen WhiteSource Informationen aus seiner Datenbank zusammengestellt und deckt nun auf, wie die sieben populärsten Programmiersprachen in Sachen Open-Source-Sicherheit abschneiden. Im Rennen sind C, Java, JavaScript, Python, Ruby, PHP und C++ .

Am wenigsten Schwachstellen hat Ruby zu verzeichnen

Betrachtet man die Gesamtzahl der gemeldeten Open-Source-Schwachstellen für jede der sieben Sprachen in den letzten 10 Jahren, so belegt C mit fast 50 Prozent aller gemeldeten Schwachstellen den ersten Platz. Auf Ruby hingegen sind lediglich 5 Prozent der Schwachstellen zurückzuführen.

Dennoch ist C laut Report nicht weniger sicher als die anderen Sprachen. Die hohe Anzahl von Open-Source-Schwachstellen in C lasse sich durch mehrere Faktoren erklären, so WhiteSource. Zum einen sei C weitaus länger im Einsatz als die meisten anderen Sprachen. Zum anderen weise sie das höchste Volumen an geschriebenem Code auf, was dazu führe, dass es häufiger Schwachstellen zu verzeichnen gebe.

Das sind die häufigsten Schwachstellen

Die häufigsten Schwachstellen in den Sprachen insgesamt sind Cross-SiteScripting (XSS) und Input Validation. Aber auch Permissions, Privileges und Access Control sowie Information Leak / Disclosure wurden gemeldet.

Untersucht man die Sicherheitsprobleme für jede Sprache im Detail, erhält man ein anderes Bild:

Die Sicherheit von Java

Laut dem Report sind Java-Schwachstellen seit 2016 stetig gestiegen. Obwohl die Zahlen bei den meisten anderen untersuchten Sprachen in diesem Jahr gesunken sind, ist Java die einzige Sprache, die im vergangenen Jahr einen Anstieg der Open-Source-Schwachstellen verzeichnete. Überraschenderweise haben sich die entdeckten Java-Schwachstellen 2018 im Vergleich zu 2017 fast verdoppelt.

WhiteSource hat die Schwachstellen zudem den Kategorien „schwach“, „mittel“ und „hoch“ zugeordnet. Schwachstellen, die der mittleren Kategorie zugeteilt wurden, bewegen sich ziemlich konstant um die 75%-Marke. Die Schwachstellen der Kategorie „high“ hingegen haben in den letzten zwei Jahren zugelegt.

Bezogen auf die Art von Schwachstellen hat Java ein besonderes Merkmal vorzuweisen. Deserialisierungsprobleme (CWE-502) gehören zwar nicht zu den häufigsten Sicherheitlücken, sind aber für Java einzigartig. Sie treten in PHP, Ruby oder Python kaum auf.

Weitere Ergebnisse

Wie der Report ebenfalls offenlegt, gab es vor allem in den vergangenen zwei Jahren einen Anstieg von Sicherheitslücken im Open-Source-Bereich. Laut dem Bericht ist das auf die stetig wachsende Popularität von Open Source zurückzuführen. Da mehr Ressourcen in Open Source flössen, würde auch mehr in die Sicherheitsforschung investiert – folglich seien auch mehr Probleme aufgedeckt worden. Automatisierte Sicherheitstools und wachsende Investitionen in Bug-Bounty-Programme hätten ebenfalls zum Anstieg der gemeldeten Probleme beigetragen.

Trotz des Anstiegs der Schwachstellen insgesamt ist die Zahl der hochgradigen Schwachstellen in den letzten zehn Jahren in den meisten Programmiersprachen zurückgegangen. Alle weiteren Informationen zum White Source Report stehen auf dem Blog zum Nachlesen bereit.

Geschrieben von
Katharina Degenmann
Katharina Degenmann
Katharina Degenmann hat Politikwissenschaft und Philosophie studiert. Seit Februar 2018 arbeitet sie in der Redaktion der Software & Support Media GmbH und ist nebenbei als freie Journalistin tätig.
Kommentare

Hinterlasse einen Kommentar

1 Kommentar auf "WhiteSource Report: Das sind die sichersten Programmiersprachen"

avatar
4000
  Subscribe  
Benachrichtige mich zu:
DaniEll
Gast

Java-Serializierung, „a horrible mistake“ laut Oracle…