使用言語での脆弱性数の傾向
ふと思い立ったので、NISTのNVD(http://nvd.nist.gov/download.cfm)を使って調べてみた。まあ、昔やった気もしないでもないがw
使用言語 | 脆弱性数 | 検索条件 |
PHP | 7735 | php |
Java | 1001 | Javaまたはjsp |
asp.Net | 1157 | asp |
たぶん、あんまし意味のない数字だろう(検索条件が間違ってる可能性とか、世の中で公開されているアプリケーションの数とか違うし)けど、PHPが際立って多いというのは、感覚どおりってとこか?
この結果から即「PHPを避ける」というわけではないけど。たぶんこれは、PHPを使用したアプリが非常に多いという結果を反映してるんだろう。
各言語ごとの1個のアプリケーションにつき平均何個脆弱性が発見されているか?というのを見たほうが面白いと思うんだけどなぁ。
ちなみに、脆弱性の種類で見た場合はこんな感じ
脆弱性 | 脆弱性数 | 検索条件 |
XSS | 3843 | XSS |
SQL Injection | 2827 | SQL Injection |
Directory Traversal | 1368 | Directory Traversal |
CSR | 121 | CSRF |
まあ、検索条件が、両方ともアレなのでたぶん、今一精度はよくないはずなので、あくまで、ネタw