【IT】脆弱性が多いプログラミング言語、第2位はPHP – 第1位は?

1: 田杉山脈 ★ 2019/03/26(火) 23:09:23.80 ID:CAP_USER

WhiteSource Softwareは3月19日(米国時間)、「Is One Programming Language More Secure Than The Rest?」において、過去の脆弱性情報を集計し、どのプログラミング言語がより多くの脆弱性とかかわりを持っていたのかについて伝えた。

脆弱性情報が多い順にまとめたプログラミング言語ランキングとしては、以下が報告されている。

C言語 (47%)
PHP (17%)
Java (12%)
JavaScript (11%)
Python (6%)
C++ (6%)
Ruby (5%)

データソースはNVD (National Vulnerability Database)、各種セキュリティアドバイザリ、GitHub、そのほか人気の高いトラッキングシステムなどで集計された脆弱性情報など。対象のプログラミング言語は、過去数年間にオープンソースコミュニティで使われたプログラミング言語の中から特に人気の高いものが選択されている。

記事では、関連する脆弱性が多いからといって必ずしもそのプログラミング言語がセキュリティに対して脆弱ということを意味するわけではないと説明。例えば、C言語のシェアは50%近いが、これは長期にわたって使われていること、インフラストラクチャを構成するソフトウェアに使われており注目度が高いことなども関係しているという。
https://news.mynavi.jp/article/20190326-795188/

3: 名刺は切らしておりまして 2019/03/26(火) 23:16:02.77 ID:w8tC9gkl
き、脆弱性

4: 名刺は切らしておりまして 2019/03/26(火) 23:16:20.87 ID:eXDPA1cG
脆弱性がない=単に制限が多いってだけじゃないの?

5: 名刺は切らしておりまして 2019/03/26(火) 23:22:19.33 ID:FRVSUi6T
PHPとか、よりマクロ的なヤツのほうが
そりゃ誰かのプログラムを呼ぶだけなんだから、
中学生が作ったC言語プログラムよりはマシだろうよ。

7: 名刺は切らしておりまして 2019/03/26(火) 23:24:17.45 ID:4+qbEsl1
露骨にミスリード狙ってるなぁ
本文では言い訳してるが…

8: 名刺は切らしておりまして 2019/03/26(火) 23:25:04.87 ID:UJrYppwo
年間脆弱性6000件中3000件はPHP関連だけどな

73: 名刺は切らしておりまして 2019/03/27(水) 08:02:15.89 ID:0KUQjn0T
>>8
ソースは?

9: 名刺は切らしておりまして 2019/03/26(火) 23:28:07.83 ID:tBfk0RU2
全ての道具は刃物

10: 名刺は切らしておりまして 2019/03/26(火) 23:30:32.93 ID:YEGx3hn0
言語に脆弱性があるんじゃなくて、その開発環境やライブラリってことだろうな
ただ一つだけ言えるのはフリーのものは総じて対応が遅いし、アホみたいな問題が発生することが多い

12: 名刺は切らしておりまして 2019/03/26(火) 23:34:03.62 ID:O4iPbBKE
>>10
そうは言っても、Cは普通にガバガバだろ

34: 名刺は切らしておりまして 2019/03/27(水) 00:44:21.82 ID:lW8+/A69
>>10
Cをやってるやつらが脆弱性の塊ってことだろうな。
むりするなよ。できないこともあるから。

11: 名刺は切らしておりまして 2019/03/26(火) 23:31:06.11 ID:uOlS+QQR
Perl最強説浮上!

13: 名刺は切らしておりまして 2019/03/26(火) 23:35:55.16 ID:/vpgpRmg
まーC以外のプロトコルではほぼkernel作れないから仕方ないね

179: 名刺は切らしておりまして 2019/03/30(土) 19:16:22.69 ID:/Vc9f2Y/
>>13
プロトコル?
背伸び過ぎて転んだかな

180: 名刺は切らしておりまして 2019/03/30(土) 19:51:30.28 ID:L/5SzHfg
>>13
プロトコルワロタ

14: 名刺は切らしておりまして 2019/03/26(火) 23:36:14.95 ID:kjHe0z6f
cにphpにjavaか。。
実務でシェアでっかい奴ばっかじゃん

17: 名刺は切らしておりまして 2019/03/26(火) 23:40:46.42 ID:5jFmvigU
>>14
ほんとにそう。
シェアが高けりゃ脆弱性の報告も多いのは当たり前で、言語由来の脆弱性があるとかいう資料じゃないのが本当に意味不明。
言語の人気ランキングと何が違うんだ?

19: 名刺は切らしておりまして 2019/03/26(火) 23:43:51.22 ID:EulQvF49
そもそもPHPもJavaもCで実装されているのだが。

20: 名刺は切らしておりまして 2019/03/26(火) 23:49:44.77 ID:Cp81k3v8
使われる機会が多い言語は
脆弱性情報も多くなる傾向になるだろうな

21: 名刺は切らしておりまして 2019/03/26(火) 23:53:10.07 ID:Kdjx9xV1
この手のスクリプト言語ではやっぱPHPがとっつきやすい。
これで十分。

22: 名刺は切らしておりまして 2019/03/26(火) 23:53:23.60 ID:Cp81k3v8
PHP,Java,JavaScript,Python,Ruby では OS やら速度が求められる機能は書けない以上
C/C++ とは守備範囲が違うし
その脆弱性を比較してもあまり意味はない

23: 名刺は切らしておりまして 2019/03/26(火) 23:56:47.63 ID:vUZPQYsV
足したら104%なので、各言語ごとの集計だから
言語の本来なのか、多数波が狙われるのか

25: 名刺は切らしておりまして 2019/03/26(火) 23:58:03.56 ID:QhCVKYDN
Cに決まってら と書き込もうとしてら
そのとおりで笑っちゃうな

28: 名刺は切らしておりまして 2019/03/27(水) 00:14:14.13 ID:zryLjFFD

>>25
当たり前だよな
・シェアが大きい
・OSやデバイスドライバなど脆弱性が入り込みやすい用途でもちいられる

こんな調査に何の意味があるのかと…
(PL/Iは著しく脆弱性が少ないとか言いたいのかな?)

29: 名刺は切らしておりまして 2019/03/27(水) 00:20:29.72 ID:s8ZkHVr4
Python (6%)
C++ (6%)
Ruby (5%)
って笑える。JAVAやPHP以上に問題あるよ

38: 名刺は切らしておりまして 2019/03/27(水) 01:08:25.18 ID:CBXq5Oki

>>29

スクリプト言語の脆弱性は言語のメンテナンスチームの質や設計による
PHPのセキュリティ脆弱性は段違いに酷い
商用向けならセキュリティのコンサルなりに見せないと安心できない

30: 名刺は切らしておりまして 2019/03/27(水) 00:20:38.89 ID:QblVzPcv
生PHPのサイトなんて脆弱性だらけだからな
かと言ってフレームワークはロクなもんがない
PHPは滅びたほうが世のため

33: 名刺は切らしておりまして 2019/03/27(水) 00:38:14.45 ID:3+iOrAsO
C言語を一番長く利用してきたので書きたい事が多くあるんだが眠い。
どんな言語でも弱点はあるけどC言語はすぐ作れるようになるので結果的に脆弱性を生みやすい?

35: 名刺は切らしておりまして 2019/03/27(水) 00:46:40.61 ID:EQ9LkgSJ

Cはバッファオーバーフロー攻撃とか効く言語だ
そしてまあまあ他の言語より書くのに神経を使う部分がコードの本質より別のことに割くから
そして沢山使われてれば攻撃も多いし、苛烈

2nd にペチパー無様w
ペチパー ペチパー と煽られるだけはある

36: 名刺は切らしておりまして 2019/03/27(水) 00:58:41.05 ID:xekR5adr
良い子のみんな、ゴキブリ韓国人を見てごらん
ちゃんと勉強しないと、ああなっちゃうんだよ
悪い子のみんな、悪いことばかりしていると
ゴキブリ韓国人に生まれ変わるんだよ

39: 名刺は切らしておりまして 2019/03/27(水) 01:14:19.79 ID:gWkgHZm3
javaって制御系では使えませんと明記されていたから
Cで組んだけど。制御系はやばいからjavaあかんって事なんだろうけど。

40: 名刺は切らしておりまして 2019/03/27(水) 01:16:56.43 ID:6WSjQf2C
見出しがおかしいな
言語に脆弱性があるわけじゃないだろう

42: 名刺は切らしておりまして 2019/03/27(水) 01:28:54.01 ID:MgNFXA8p
その言語で作り
その言語の言語処理系でコンパイルしたり、スクリプト実行したり
そういう各種システムの脆弱性情報を集めて
それを言語別に集計しました
みたいな話なんだろうな

45: 名刺は切らしておりまして 2019/03/27(水) 01:48:20.46 ID:0yCUW7m+
自分は今、ピクセラ社の、 Station TVというのでテレビをPCで見ているが、 Microsoft Visual C++ というのがないと強制終了する。絶対にあかない。
コレはあれこれ 自分自身で試行錯誤して 見つけた。  OSを回復や再インストール後、コレを入れてkら、このアプリを入れないと、起動しない

173: 名刺は切らしておりまして 2019/03/30(土) 18:33:04.57 ID:wQ70w0GT
>>45
Mfcのライブラリじゃね

86: 名刺は切らしておりまして 2019/03/27(水) 08:46:18.42 ID:OTGGcEZg
PHPは簡単に使えるのでレベルが低いエンジニアによるミス
C言語は難しいので使い方がわからないレベルの低いエンジニアによるミス
結局レベルの低いエンジニアのせいやな。

88: 名刺は切らしておりまして 2019/03/27(水) 08:59:04.76 ID:R9CPI3Ic
どの言語も同じだろ。結局は予算次第。
カネがないから低能プログラマーを安く使ったり、
脆弱性のチェックをしないで納品する。
そして検収でも気づかないので後々直せと言われたら代金を請求して直す。
その金を最初から出せばいいのにケチるから・・・

99: 名刺は切らしておりまして 2019/03/27(水) 11:32:40.37 ID:xekR5adr
良い子のみんな、ゴキブリ韓国人を見てごらん
ちゃんと勉強しないと、ああなっちゃうんだよ
悪い子のみんな、悪いことばかりしていると
ゴキブリ韓国人に生まれ変わるんだよ

100: 名刺は切らしておりまして 2019/03/27(水) 11:35:24.01 ID:eFvZyibc
よく使われてる言語ランキング

101: 名刺は切らしておりまして 2019/03/27(水) 11:46:18.27 ID:SYa7tAhz
過去の統計だと、こんなもんか
だが、メモリーリークへの安全性が保証されてないこれらの言語など、もはやセキュリティ目線だと論外
go-langかrust使え

102: 名刺は切らしておりまして 2019/03/27(水) 11:49:42.94 ID:vYLdXUGg
言語としての脆弱性ではなく、過去に報告のあった事例の数でのランキングなんだから
より普及していてより古い言語ほどランキング上がるだけじゃん。

105: 名刺は切らしておりまして 2019/03/27(水) 12:27:37.72 ID:4y9ZHWjE
自由度が高い言語ほどそうだろうな

118: 名刺は切らしておりまして 2019/03/27(水) 19:53:59.02 ID:As3SPDPm
Lisp系ないのか

119: 名刺は切らしておりまして 2019/03/27(水) 20:01:31.05 ID:tIR+hF6T

char *s;
scanf(“312”,s);

ヨシ

120: 名刺は切らしておりまして 2019/03/27(水) 20:13:54.56 ID:/8ffRo+K
>>119
ガッ

125: 名刺は切らしておりまして 2019/03/27(水) 22:04:36.32 ID:FQzRMcxy
純粋に書くのはログインだけで
後はDBをjsonでjsとやり取りする時代たぞ。

126: 名刺は切らしておりまして 2019/03/27(水) 23:01:33.92 ID:razZmuPf
まあCはしゃーない
殿堂入りだから
でもさあ
C++より多いJavaとPHPは何なの?

128: 名刺は切らしておりまして 2019/03/28(木) 00:10:15.27 ID:9F23h/tM
自由度の高い言語は、きちんと管理しないと暴走します

138: 名刺は切らしておりまして 2019/03/28(木) 23:39:06.24 ID:0TfTu7oI
仮想関数呼び出しってCで同じことやろうとしたら結局インスタンスごとに分岐や関数ポインタ使うことになって同じ時間かかるだろ?
まあ予測当たるように大まかにソートしておくとかすればいいんだが
仮想関数だろうがやることは変わらない

181: 名刺は切らしておりまして 2019/03/30(土) 21:44:25.30 ID:YmR0Pcm2
多分ここにコメした奴が使ってる言語と作ったソフトに脆弱性が多いと思うわw

182: 名刺は切らしておりまして 2019/03/30(土) 23:49:21.11 ID:Ua8ELKCR
境界のチェックなんてJavaでやられていることで有名だったと思うのだが…
なんでこうなるかな

177: 名刺は切らしておりまして 2019/03/30(土) 19:07:56.04 ID:uVjJTF8w
この調査結果で
日本語プログラム言語ひまわりは脆弱性が全く存在しない
とはならんだろ

引用元

管理人からひと言

母数・・・・

[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]

スッキリわかるC言語入門 [ 中山清喬 ]
価格:2916円(税込、送料無料) (2019/5/12時点)

スポンサーリンク
スポンサーリンク
スポンサーリンク

シェアする

フォローする