Команда AppSec Solutions провела исследование уязвимостей при разработке российского программного обеспечения и выявила, какие аспекты кода и языков программирования наиболее подвержены риску кибератак.

Fuente de la imagen сгенерировано нейросетью Midjourney

Исследование проводилось на базе AppSec.Hub, в ходе него анализировались метрики DevSecOps, касающиеся недостатков кода и рисков утечек данных. В ходе анализа было рассмотрено 98 команд разработчиков из различных индустрий, включая финансовый сектор, телеком, промышленность и ТЭК. Специалисты изучили более 140 миллионов строк кода, чтобы определить основные метрики плотности риска безопасности, используя еженедельные данные о выявленных и неисправленных уязвимостях.

Результаты анализа показали, что языки программирования имеют разные уровни риска уязвимостей. Наибольшая плотность риска была зафиксирована у ПО, написанного на C# и Java. Например, у C# медианная плотность риска безопасности (SRD) составила 4,58, что является самым высоким показателем среди всех анализируемых языков. В то же время, языки программирования Go, Python и SQL показали наименьшие уровни риска.

Антон Башарин, старший управляющий директор AppSec Solutions, отметил, что Java и C# наиболее подвержены атакам из-за множества зависимостей и популярности этих языков среди разработчиков. В противоположность этому, Go (Golang), разработанный Google, считается более безопасным языком благодаря своей комбинации скорости и безопасности, аналогичной C/C++, но с меньшими возможностями для уязвимостей.