如果你是一个在.NET、C++、java、java脚本、PHP或Python中编写代码的开发人员，新的研究会突出你需要注意的主要安全漏洞。< < /P> < P>静态代码分析安全公司VelaCod已经发布了关于在安全应用中扫描的130000个应用程序中最普遍的漏洞类型的数字。

< p>它查看了应用程序中的错误趋势，这些应用程序是用.NET、C++、java、JavaScript、PHP或Python编写的。这些数字是在Veracode的软件安全第11卷状态报告

，最流行的前端开发语言Veracode发现，31.5%的应用程序至少有一个跨站点脚本（XSS）缺陷，而用PHP编写的应用程序中有74.6%至少有一个XSS缺陷。另外，71%的PHP应用程序存在密码问题。

< p>在.NET中应用程序的主要问题是信息泄露，在.NET应用程序中发现62.8%个，而对于C++来说，错误处理是其中的首要问题，在66.5%个应用程序中发现。

< p>和java应用程序中，发现的最高级缺陷是回车或线馈送或CRLF注入。其中64.4%的人。最后，Python应用程序的首要安全问题（其中35%的应用程序）与密码学有关。

在每种语言的应用程序中发现的缺陷的严重程度也有很大的不同。Veracode发现，用C++编写的应用程序中有59%个和PHP编写的应用程序的52%具有严重的严重缺陷。然而，它发现只有9.6%的JavaScript应用程序存在严重缺陷。Java的高严重性缺陷数字为24%。

Veracode首席研究官Chris Eng向ZDNet解释了为什么在用不同语言编写的应用程序中会出现这些漏洞的趋势，以及如何确保这些漏洞不会成为一个昂贵的头痛问题。

“当我们看整体数字时，作为一个行业，我们在过去10年里没有根除任何类型的缺陷，”Eng说。

“什么都没有完全消失。很多事情都在波动，但当你看平均数时，它往往比其他任何东西更能反映语言选择和语言普及程度的变化。“我们看到C++中常见的缓冲区溢出趋势正在下降，这并不是因为我们在减少这些问题时做得更好，而是因为C++变得越来越不流行了。”<

另一方面，影响JavaScript和Python的问题正在逐渐增加，因为java java现在很流行，在整个企业中，Java和.NET仍然很流行。

PHP仍然是web应用程序开发中最流行的脚本语言之一，但Eng表示，PHP代码中的漏洞数量较多是因为该语言提供了太多不安全的原语和很多出错的方法。

“.NET是最早让自己更难自食其力的产品之一，”Eng.解释道。

“很多API都有更安全的默认设置，而且在.NET中犯跨站点脚本错误或SQL注入错误比在PHP中更难，如果它是默认的——除非你碰巧使用了这些更现代的框架，可以为你提供更多的保护，否则有很多方法会让你陷入困境。”

虽然Veracode在它分析的JavaScript应用程序中发现的缺陷要少得多，但它是一个巨大的npm生态系统，它是JavaScript和节点.js是一个尽管JavaScript有更安全的默认设置，但潜在的弱点。

“即使你自己去修复你自己编写的所有漏洞，你仍然有大量的第三方库，”Eng说。

“补丁并没有你希望的那么好。目前的趋势是，开发人员在需要的时候下载最新版本的库，然后再也不会更新，除非某些功能失效。“

工程和产品团队应该如何减少修补关键应用程序的麻烦和成本？Eng的建议是保持最新，并了解随着时间的推移，应用程序中积累了多少技术或安全债务。在某种程度上，应用程序需要修复或修补，这包括语言更新和关键库的修补程序。

“如果我是4.5版，4.6版发布，我可以应用该修补程序，几乎不可能破坏功能。没有开源库会在次要版本中对库进行重大更改。现在，如果您使用的是版本2，然后必须升级到版本4.6，这将是一个很大的痛苦，”Eng.说。

这个关于通过巨大的npm生态系统更新库的特殊问题对于JavaScript来说可能更大，但是在Java和PyPI之间也有很大的生态系统。如果你的JavaScript应用程序达到第90个百分点，这些应用程序可能有1000或2000个依赖项。

应用程序安全公司Snyk最近向ZDNet解释了大多数安全漏洞如何影响JavaScript，Ruby、Java、PHP和Python都是由于项目中加载的主要组件的间接依赖关系造成的。

然后有一些非常流行的JavaScript库被80%到90%的JavaScript应用程序使用。

“任何时候，这些包中的一个存在漏洞，您都会继承该风险。“这不仅仅是安全风险，”Eng说。

他指的是left pad JavaScript库的用法在GitHub上消失了，突然有三分之二的互联网中断了，因为他们依靠这个四行代码库来确定一个数字是否被补上了零。”