Pour gérer vos consentements :

PHP au top des langages à la source de failles

Les langages de script sont à l’origine de davantage de failles de sécurité dans les applications que d’autres, selon un rapport de Veracode. Le fournisseur américain de solutions de sécurité a analysé plus de 208 000 applications 18 mois durant, entre le 1er octobre 2013 et le 31 mars 2015. Et a mesuré le nombre d’incidents de sécurité dans le code source de ces apps.

Classic ASP, ColdFusion, PHP…

Le classement Veracode des langages à la source du plus grand nombre de failles est le suivant :

  • Classic ASP
  • ColdFusion
  • PHP
  • Java
  • .NET
  • C++
  • iOS (Objective C)
  • Android
  • JavaScript

Des millions de sites Web exposés ?

Classic ASP n’a plus vraiment la cote et ColdFusion est un langage de niche, mais PHP, 3e du classement, est largement plus populaire sur le Web (les CMS Drupal et Joomla sont écrits en PHP, ainsi que le core de WordPress). Selon Veracode, 86 % des applications écrites en PHP analysées par ses soins ont au moins une vulnérabilité de type XSS (Cross Site Scripting), soit l’injection de code indirecte. Et 56 % sont exposées aux injections SQL. D’après Veracode, les applications qui s’appuient sur des languages vraiment compilés comme C/C++ et Objective C (iOS) ont des taux de conformité au référentiel de sécurité OWASP Top 10 supérieurs à celui des applications dont le code est basé sur des langages d’usage généraliste comme Java ou .NET. Mais ce sont les langages de script qui obtiennent les taux les plus faibles. Quatre applications sur cinq écrites en PHP, Classic ASP et ColdFusion, toutes analysées par Veracode, ne sont pas conformes à au moins un des critères du référentiel de sécurité OWASP Top 10 (Open Web Application Security Project).

Lire aussi :

Apple Swift au top 20 des langages les plus utilisés
Le code des logiciels propriétaires plus conforme que l’Open Source

crédit photo © Timofey_123 / shutterstock.com

Recent Posts

Quand le candidat IT idéal n’est pas celui que vous croyez

L'usage de "deepfakes" et d'informations d'identification personnelle volées progresse chez les candidats et usurpateurs patentés…

24 minutes ago

Roaming : le menu dans l’Union européenne jusqu’en 2032

La nouvelle régulation sur l'itinérance mobile dans l'UE est entrée en application. Quelles en sont…

32 minutes ago

Vers une régulation européenne des cryptoactifs : quelles bases technologiques ?

Les colégislateurs de l'UE ont trouvé un accord provisoire sur trois propositions de règlements touchant…

3 heures ago

Google Cloud ouvre sa région France

Google Cloud dispose d'une région France lancée commercialement fin juin. Une étape indispensable pour lutter…

6 heures ago

Pourquoi FedEx bascule des grands systèmes au cloud

Le transporteur américain FedEx va fermer les 20% restants de ses mainframes dans les deux…

7 heures ago

Cloud de confiance : quelle feuille de route pour S3NS, la coentreprise Google-Thales ?

Sous l'ombrelle S3NS, Google et Thales esquissent une première offre en attendant celle qui visera…

1 jour ago