Peu sont les développeurs qui lors du choix d’un langage de programmation pour un projet accordent une place importante à la sécurité. Le choix est très souvent basé sur les performances ou encore la familiarité des développeurs avec le langage.
À la différence des classements sur la popularité des langages ou encore les performances de ceux-ci, le cabinet de sécurité WhiteHat Security vient de publier le classement des langages de programmation utilisés sur le Web, en se basant sur la sécurité de ceux-ci.
« Décider quel langage de programmation utilisé est souvent fondée sur des considérations telles que la familiarité de l’équipe de développement avec le langage, la génération plus rapide de code ou simplement le résultat à atteindre », a déclaré Jeremiah Grossman, fondateur et PDG de WhiteHat Security.
L’établissement de ce rapport a été motivé par le manque d’informations suffisantes sur la sécurité, que les équipes peuvent exploiter dans le processus de sélection d’un langage pour leur projet. Le rapport a été établi en mesurant la sécurité des langages de programmation et des framework et en examinant non seulement les bibliothèques sensibles, mais aussi le temps mis pour corriger une faille.
La liste a été établie suite à l’analyse de plus de 30 000 sites suivis par WhiteHat Security, pour mesurer la façon dont les langages de programmation et les Framework fonctionnent dans le domaine de la sécurité.
Les langages les plus utilisés par ces sites sont .NET (28 %), Java (25 %), ASP (16 %), PHP (11%), ColdFusion (6%) et Perl (3%). La complexité et la popularité de .NET, Java et ASP signifient que les surfaces d’attaques pour chaque langage est plus grand, selon WhiteHat Security, qui affirme que 31% de vulnérabilité ont été observées en .NET, 28% étaient en Java et 15% en ASP.
Dans l’ensemble, WhiteHat Security conclut qu’il n’y avait pas une grande différence dans le nombre de vulnérabilités trouvées parmi les sites utilisant ces différents langages. .NET avait une moyenne de 11, 36 vulnérabilités, suivi par Java avec 11,32, ensuite ASP (10,98), Perl (7) et ColdFusion (6).
Le rapport note également qu’avec le temps, la sécurité des applications Web ne s’améliore pas, alors qu’un meilleur travail est effectué dans la correction des bogues. Ce qui montre que les développeurs accordent peu d’importance à la sécurité par rapport aux fonctionnalités et aux performances.
La vulnérabilité la plus répandue est le « cross-site scripting » (XSS), suivie des vulnérabilités d’injection SQL, les fuites d’informations et l’usurpation du contenu des réponses HTTP. Le rapport permet de constater que les failles de type XSS sont résolues en moyenne en 52 jours pour PHP, 53 jours pour Perl, 76 jours pour JSP, 72 jours pour ColdFusion et 87 jours pour .NET.
Source : Rapport de WhiteHat Security
Et vous ?
Prenez-vous le paramètre sécurité en compte lors du choix d’un langage de programmation pour un projet ?
Quel langage de programmation pour le Web est-il plus sécurisé ?
Selon une étude, les langages populaires ont presque le même degré de sécurité
Quel langage de programmation pour le Web est-il plus sécurisé ?
Selon une étude, les langages populaires ont presque le même degré de sécurité
Le , par Hinault Romaric
Une erreur dans cette actualité ? Signalez-nous-la !