1: 田杉山脈 ★ 2019/03/26(火) 23:09:23.80 _USER
WhiteSource Softwareは3月19日(米国時間)、「Is One Programming Language More Secure Than The Rest?」において、過去の脆弱性情報を集計し、どのプログラミング言語がより多くの脆弱性とかかわりを持っていたのかについて伝えた。
脆弱性情報が多い順にまとめたプログラミング言語ランキングとしては、以下が報告されている。
C言語 (47%)
PHP (17%)
Java (12%)
JavaScript (11%)
Python (6%)
C++ (6%)
Ruby (5%)
データソースはNVD (National Vulnerability Database)、各種セキュリティアドバイザリ、GitHub、そのほか人気の高いトラッキングシステムなどで集計された脆弱性情報など。対象のプログラミング言語は、過去数年間にオープンソースコミュニティで使われたプログラミング言語の中から特に人気の高いものが選択されている。
記事では、関連する脆弱性が多いからといって必ずしもそのプログラミング言語がセキュリティに対して脆弱ということを意味するわけではないと説明。例えば、C言語のシェアは50%近いが、これは長期にわたって使われていること、インフラストラクチャを構成するソフトウェアに使われており注目度が高いことなども関係しているという。
https://news.mynavi.jp/article/20190326-795188/
70: 名刺は切らしておりまして 2019/03/27(水) 07:54:18.11
>>1
母数でわらんと意味内
cは割合的には大したことなさそう
母数でわらんと意味内
cは割合的には大したことなさそう
2: 名刺は切らしておりまして 2019/03/26(火) 23:12:44.25
弱酸性に見えた俺は少し残業し過ぎかもしれない
3: 名刺は切らしておりまして 2019/03/26(火) 23:16:02.77
き、脆弱性
5: 名刺は切らしておりまして 2019/03/26(火) 23:22:19.33
PHPとか、よりマクロ的なヤツのほうが
そりゃ誰かのプログラムを呼ぶだけなんだから、
中学生が作ったC言語プログラムよりはマシだろうよ。
そりゃ誰かのプログラムを呼ぶだけなんだから、
中学生が作ったC言語プログラムよりはマシだろうよ。
7: 名刺は切らしておりまして 2019/03/26(火) 23:24:17.45
露骨にミスリード狙ってるなぁ
本文では言い訳してるが…
本文では言い訳してるが…
8: 名刺は切らしておりまして 2019/03/26(火) 23:25:04.87
年間脆弱性6000件中3000件はPHP関連だけどな
9: 名刺は切らしておりまして 2019/03/26(火) 23:28:07.83
全ての道具は刃物
10: 名刺は切らしておりまして 2019/03/26(火) 23:30:32.93
言語に脆弱性があるんじゃなくて、その開発環境やライブラリってことだろうな
ただ一つだけ言えるのはフリーのものは総じて対応が遅いし、アホみたいな問題が発生することが多い
ただ一つだけ言えるのはフリーのものは総じて対応が遅いし、アホみたいな問題が発生することが多い
12: 名刺は切らしておりまして 2019/03/26(火) 23:34:03.62
>>10
そうは言っても、Cは普通にガバガバだろ
そうは言っても、Cは普通にガバガバだろ
34: 名刺は切らしておりまして 2019/03/27(水) 00:44:21.82
>>10
Cをやってるやつらが脆弱性の塊ってことだろうな。
むりするなよ。できないこともあるから。
Cをやってるやつらが脆弱性の塊ってことだろうな。
むりするなよ。できないこともあるから。
11: 名刺は切らしておりまして 2019/03/26(火) 23:31:06.11
Perl最強説浮上!
14: 名刺は切らしておりまして 2019/03/26(火) 23:36:14.95
cにphpにjavaか。。
実務でシェアでっかい奴ばっかじゃん
実務でシェアでっかい奴ばっかじゃん
17: 名刺は切らしておりまして 2019/03/26(火) 23:40:46.42
>>14
ほんとにそう。
シェアが高けりゃ脆弱性の報告も多いのは当たり前で、言語由来の脆弱性があるとかいう資料じゃないのが本当に意味不明。
言語の人気ランキングと何が違うんだ?
ほんとにそう。
シェアが高けりゃ脆弱性の報告も多いのは当たり前で、言語由来の脆弱性があるとかいう資料じゃないのが本当に意味不明。
言語の人気ランキングと何が違うんだ?
15: 名刺は切らしておりまして 2019/03/26(火) 23:36:37.80
といってもC以外の言語を駆動するインタープリタやVMはCで書かれてるわけで。
実行環境や言語仕様の安全性で言えばたぶん Java がベストなんだろうけれど
アプリケーションプログラムの品質で言えばたぶん Java がワーストだろうなぁ。
PHP は文字エンコードの取扱で深刻な脆弱性があったけどもう修正されたのかな?
実行環境や言語仕様の安全性で言えばたぶん Java がベストなんだろうけれど
アプリケーションプログラムの品質で言えばたぶん Java がワーストだろうなぁ。
PHP は文字エンコードの取扱で深刻な脆弱性があったけどもう修正されたのかな?
19: 名刺は切らしておりまして 2019/03/26(火) 23:43:51.22
そもそもPHPもJavaもCで実装されているのだが。
20: 名刺は切らしておりまして 2019/03/26(火) 23:49:44.77
使われる機会が多い言語は
脆弱性情報も多くなる傾向になるだろうな
脆弱性情報も多くなる傾向になるだろうな
22: 名刺は切らしておりまして 2019/03/26(火) 23:53:23.60
PHP,Java,JavaScript,Python,Ruby では OS やら速度が求められる機能は書けない以上
C/C++ とは守備範囲が違うし
その脆弱性を比較してもあまり意味はない
C/C++ とは守備範囲が違うし
その脆弱性を比較してもあまり意味はない
24: 名刺は切らしておりまして 2019/03/26(火) 23:57:59.21
c言語の脆弱性ってどういう意味なのかさっぱりわからん
25: 名刺は切らしておりまして 2019/03/26(火) 23:58:03.56
Cに決まってら と書き込もうとしてら
そのとおりで笑っちゃうな
そのとおりで笑っちゃうな
28: 名刺は切らしておりまして 2019/03/27(水) 00:14:14.13
>>25
当たり前だよな
・シェアが大きい
・OSやデバイスドライバなど脆弱性が入り込みやすい用途でもちいられる
こんな調査に何の意味があるのかと…
(PL/Iは著しく脆弱性が少ないとか言いたいのかな?)
当たり前だよな
・シェアが大きい
・OSやデバイスドライバなど脆弱性が入り込みやすい用途でもちいられる
こんな調査に何の意味があるのかと…
(PL/Iは著しく脆弱性が少ないとか言いたいのかな?)
26: 名刺は切らしておりまして 2019/03/27(水) 00:02:15.50
PHPは適当に書けば適当に動いてくれるからな
お手軽でいいんだけど、そのぶん予期しない結果になることもあるから
ある意味怖い言語でもある
お手軽でいいんだけど、そのぶん予期しない結果になることもあるから
ある意味怖い言語でもある
29: 名刺は切らしておりまして 2019/03/27(水) 00:20:29.72
Python (6%)
C++ (6%)
Ruby (5%)
って笑える。JAVAやPHP以上に問題あるよ
C++ (6%)
Ruby (5%)
って笑える。JAVAやPHP以上に問題あるよ
38: 名刺は切らしておりまして 2019/03/27(水) 01:08:25.18
>>29
スクリプト言語の脆弱性は言語のメンテナンスチームの質や設計による
PHPのセキュリティ脆弱性は段違いに酷い
商用向けならセキュリティのコンサルなりに見せないと安心できない
スクリプト言語の脆弱性は言語のメンテナンスチームの質や設計による
PHPのセキュリティ脆弱性は段違いに酷い
商用向けならセキュリティのコンサルなりに見せないと安心できない
32: 名刺は切らしておりまして 2019/03/27(水) 00:36:31.57
マックにはウィルスが少ないので安全、というのと同じ。
35: 名刺は切らしておりまして 2019/03/27(水) 00:46:40.61
Cはバッファオーバーフロー攻撃とか効く言語だ
そしてまあまあ他の言語より書くのに神経を使う部分がコードの本質より別のことに割くから
そして沢山使われてれば攻撃も多いし、苛烈
---
2nd にペチパー無様w
ペチパー ペチパー と煽られるだけはある
そしてまあまあ他の言語より書くのに神経を使う部分がコードの本質より別のことに割くから
そして沢山使われてれば攻撃も多いし、苛烈
---
2nd にペチパー無様w
ペチパー ペチパー と煽られるだけはある
37: 名刺は切らしておりまして 2019/03/27(水) 01:03:39.13
>>35
gccだと-fstack-protectorと-D_FORTIFY_SOURCE=2フラグを忘れずつければ良いが忘れるのは簡単だ
gccだと-fstack-protectorと-D_FORTIFY_SOURCE=2フラグを忘れずつければ良いが忘れるのは簡単だ
39: 名刺は切らしておりまして 2019/03/27(水) 01:14:19.79
javaって制御系では使えませんと明記されていたから
Cで組んだけど。制御系はやばいからjavaあかんって事なんだろうけど。
Cで組んだけど。制御系はやばいからjavaあかんって事なんだろうけど。
43: 名刺は切らしておりまして 2019/03/27(水) 01:30:21.24
>>39
GC が動き出すと予期せず動作が遅れることがあるのでリアルタイムの制御には向かない。
セキュリティの問題ではないよ。
そういう分野では GC のない C/C++ しかない。
GC が動き出すと予期せず動作が遅れることがあるのでリアルタイムの制御には向かない。
セキュリティの問題ではないよ。
そういう分野では GC のない C/C++ しかない。
40: 名刺は切らしておりまして 2019/03/27(水) 01:16:56.43
見出しがおかしいな
言語に脆弱性があるわけじゃないだろう
言語に脆弱性があるわけじゃないだろう
42: 名刺は切らしておりまして 2019/03/27(水) 01:28:54.01
その言語で作り
その言語の言語処理系でコンパイルしたり、スクリプト実行したり
そういう各種システムの脆弱性情報を集めて
それを言語別に集計しました
みたいな話なんだろうな
その言語の言語処理系でコンパイルしたり、スクリプト実行したり
そういう各種システムの脆弱性情報を集めて
それを言語別に集計しました
みたいな話なんだろうな
44: 名刺は切らしておりまして 2019/03/27(水) 01:39:00.18
ちゃんと書けてるつもりでも書けてないんだよ
プログラムなんてだれでも書けるんだというやつは
落とし穴にハマりながら言ってることに気が付いてない
プログラムなんてだれでも書けるんだというやつは
落とし穴にハマりながら言ってることに気が付いてない
46: 名刺は切らしておりまして 2019/03/27(水) 01:48:51.61
>>44
システム開発、サービス開発という業務においてプログラミングはそこまで重要じゃないということを知ってる人が案外少ないんだよね。
分からない人から見るとプログラミングできること自体がすごく見える(機械と会話できる)みたいなんだけど、
ライフサイクルや事業計画にアジャストしたプログラミングを書くことが容易ではないのであって、
プログラミングそのものは難しくないということが分かっていない。
ただプログラミングするだけならレベルにもよるけど一ヶ月もあれば誰でも出来ることなのよねw
この話は「ただ英語を話せるだけの人」を連れて来ても事業上のメリットはあまり得られないことと近しいと思う。
「英語ペラペラの人を採用しました!」「じゃあ、事業の海外展開も順風満帆だね!」
そんなアホな考えをする人はいないだろって話w
システム開発、サービス開発という業務においてプログラミングはそこまで重要じゃないということを知ってる人が案外少ないんだよね。
分からない人から見るとプログラミングできること自体がすごく見える(機械と会話できる)みたいなんだけど、
ライフサイクルや事業計画にアジャストしたプログラミングを書くことが容易ではないのであって、
プログラミングそのものは難しくないということが分かっていない。
ただプログラミングするだけならレベルにもよるけど一ヶ月もあれば誰でも出来ることなのよねw
この話は「ただ英語を話せるだけの人」を連れて来ても事業上のメリットはあまり得られないことと近しいと思う。
「英語ペラペラの人を採用しました!」「じゃあ、事業の海外展開も順風満帆だね!」
そんなアホな考えをする人はいないだろって話w
45: 名刺は切らしておりまして 2019/03/27(水) 01:48:20.46
自分は今、ピクセラ社の、 Station TVというのでテレビをPCで見ているが、 Microsoft Visual C++ というのがないと強制終了する。絶対にあかない。
コレはあれこれ 自分自身で試行錯誤して 見つけた。 OSを回復や再インストール後、コレを入れてkら、このアプリを入れないと、起動しない
コレはあれこれ 自分自身で試行錯誤して 見つけた。 OSを回復や再インストール後、コレを入れてkら、このアプリを入れないと、起動しない
56: 名刺は切らしておりまして 2019/03/27(水) 02:47:13.31
昨今のスクリプト書きのゆとり世代は、「本物のプログラマはPascalを使わない」
(原題:Real Programmers don't write Pascal)とか、知らんのだろうなぁ。
(原題:Real Programmers don't write Pascal)とか、知らんのだろうなぁ。
58: 名刺は切らしておりまして 2019/03/27(水) 03:15:33.97
cはマルチスレッドで困る。あと、文字列処理が糞めんどい。
63: 名刺は切らしておりまして 2019/03/27(水) 04:36:55.48
C言語はバッファーオーバーランが起きやすい言語仕様というところかな…
プログラマーが完璧なら問題が起きないけどそれもあり得ないからな…
プログラマーが完璧なら問題が起きないけどそれもあり得ないからな…
64: 名刺は切らしておりまして 2019/03/27(水) 04:52:04.23
・言語そのものに脆弱性がある
・その言語で作られたフレームワークやライブラリに脆弱性がある
・その言語で作られたアプリ、プログラムに脆弱性がある
この3つ分けて考えたほうがいいのでは?
・その言語で作られたフレームワークやライブラリに脆弱性がある
・その言語で作られたアプリ、プログラムに脆弱性がある
この3つ分けて考えたほうがいいのでは?
66: 名刺は切らしておりまして 2019/03/27(水) 07:47:06.67
CはメモリーAPで管理できるからだろうけど
68: 名刺は切らしておりまして 2019/03/27(水) 07:50:14.76
G7サミット国が母語とした自然言語ですと
論理的なドイツ語は堅固性が高く、情緒的な日本語は脆弱性が高いと思う
いい代えれば、脆弱性の高さが「玉虫色」の解釈を許すということ
文脈次第でどのようにも読解できるということ
日本の腹芸政治家が良く使う言葉そのものですな〜
論理的なドイツ語は堅固性が高く、情緒的な日本語は脆弱性が高いと思う
いい代えれば、脆弱性の高さが「玉虫色」の解釈を許すということ
文脈次第でどのようにも読解できるということ
日本の腹芸政治家が良く使う言葉そのものですな〜
69: 名刺は切らしておりまして 2019/03/27(水) 07:53:30.92
これから進展するAIシステムがもっとも不得意とする世界だろうね
まるで「禅問答」か公案問答集のようなものだ
コマンドがファジー
文脈もファジー
ハイ、ハイパーテキストを瞬時にして解釈できる
最近流行りの「コミュニケーション」能力の最高峰になる
まるで「禅問答」か公案問答集のようなものだ
コマンドがファジー
文脈もファジー
ハイ、ハイパーテキストを瞬時にして解釈できる
最近流行りの「コミュニケーション」能力の最高峰になる
74: 名刺は切らしておりまして 2019/03/27(水) 08:03:14.30
Cをディスる Pythonエンジニアっているけど
VBAでドヤ顔してるおっさんと同じ人種
VBAでドヤ顔してるおっさんと同じ人種
Javaもそうだが言語に脆弱性があるというよりライブラリーが穴だらけ