¿Qué lenguaje de programación tiene más bugs de seguridad?

¿Qué lenguaje de programación tiene más bugs de seguridad?

Veracode, una empresa de seguridad informática, ha analizado 208.670 aplicaciones en los últimos dos años y ha publicado las conclusiones de su estudio. La investigación ha revelado que la causa original de la mayoría de vulnerabilidades en plataformas CMS (Content Manager System), como WordPress y Drupal, es algún script de PHP.

Para desarrollar la investigación se utilizó una técnica llamada “densidad de defectos por MB”. Esto es, se mide el número de problemas de seguridad en cada megabyte de código fuente. Según el informe, el 86% de aplicaciones escritas en PHP tienen alguna vulnerabilidad XSS (un tipo de “agujero” informático) y el 56% tienen, al menos, un bug de SQL.

esquema estabilidad lenguajes

Los resultados del estudio confirmaron las sospechas del equipo de Veracode: PHP es, de los lenguajes más populares, el que genera más errores. Concretamente, se descubrieron un total de 184 problemas con una densidad de 47 defectos críticos por cada MB. Le sigue Java, con casi diez veces menos de errores y una tasa de 5.2 errores críticos por cada MB.

Con NET y C++ se encontraron 32 y 26 fallos respectivamente, pero la densidad de defectos es un poco superior a Java. Por otra parte, las aplicaciones escritas en iOS (0.9 errores por MB), Android (0.4 errores por MB) y JavaScript (0.9 errores por MB) demostraron ser las más sólidas de la comparativa entre lenguajes de programación.

PHP ha quedado en evidencia para los autores de la investigación. Chris Wysopal, fundador y CTO de Veracode dijo: “Cuando veo una brecha, una de las cosas que salta en mi cabeza es ‘apuesto a que es una web de PHP’”.

En el pasado, muchos profesionales han señalado a los lenguajes de script como una de las grandes causas de las vulnerabilidades del software. Ahora, gracias a los resultado de Veracode, se demuestra que había algo de verdad en ese reproche generalizado.

Deja un comentario

Tu dirección de correo electrónico no será publicada.