Ifølge rapporten State of Software Security er det 27 prosent risiko innenfor en gitt måned at det vil introduseres en ny sårbarhet i en applikasjon, skriver InfoQ.
Rapporten lages hvert år av Veracode, et selskap som lager verktøy for å skanne programvare for sikkerhetshull. Ved å gå gjennom alle applikasjoner som er skannet på selskapets plattform, har de kunnet avsløre blant annet hvilke programmeringsspråk som brukes i applikasjoner med flest sårbarheter.
Rapporten viser at valg av programmeringsspråk ikke bare har en effekt på hvilke og hvor mange feil som oppstår, men også hvor raskt feilene fikses.
Sårbarheter i nesten alt
Nesten 32 prosent av applikasjoner inneholder sårbarheter ved første skanning. Etter fem år er det funnet minst én feil i nesten 70 prosent av applikasjonene.
I gjennomsnitt har fire av fem Java- og .NET-applikasjoner minst én feil, mens det for JavaScript-applikasjoner er rett over halvparten som har feil.
![Type sårbarheter i ulike programmeringsspråk. 📸: Veracode Type sårbarheter i ulike programmeringsspråk. 📸: Veracode](https://www.kode24.no/images/78441757.jpg?imageId=78441757&x=0&y=0&cropw=99.69040247678&croph=100&width=644&height=348)
Feilene i Java- og .NET-applikasjoner er gjerne mer alvorlige enn for JavaScript. Antallet alvorlige sikkerhetsfeil er nesten dobbelt så høyt for Java- og .NET-applikasjoner sammenlignet med JavaScript.
![image: C++ blir kritisert for sikkerheten, og nå åpner skaperen for endringer](https://www.kode24.no/images/78420396.jpg?imageId=78420396&x=0&y=0&cropw=100&croph=100&width=154&height=87&compression=80 640w, https://www.kode24.no/images/78420396.jpg?imageId=78420396&x=0&y=0&cropw=100&croph=100&width=245&height=139&compression=80 1024w, https://www.kode24.no/images/78420396.jpg?imageId=78420396&x=0&y=0&cropw=100&croph=100&width=616&height=348&compression=70 320w)
C++ blir kritisert for sikkerheten, og nå åpner skaperen for endringer
Viktig å fikse feil fort
Ifølge rapporten er det også store forskjeller mellom språkene når det gjelder hvor raskt sikkerhetsfeil blir fikset.
- For Java er det 65,3 prosent sannsynlighet for at et sikkerhetshull fortsatt eksisterer etter tre måneder.
- For .NET er tallet 59,2 prosent.
- Mens JavaScript ligger på 54,1 prosent.
![Tiden det tar å fikse sårbarheter i applikasjoner skrevet i ulike programmeringsspråk. 📸: Veracode Tiden det tar å fikse sårbarheter i applikasjoner skrevet i ulike programmeringsspråk. 📸: Veracode](https://www.kode24.no/images/78441762.jpg?imageId=78441762&x=0&y=0&cropw=99.84496124031&croph=100&width=644&height=336)
Det forventes å ta 243 dager å fikse halvparten av feilene i Java-applikasjoner, mens det tar bare 116 dager for JavaScript og 158 for .Net.
Forfatterne av rapporten anbefaler å prioritere å fikse sårbarheter så fort som mulig, ettersom feil har en tendens til å bygge seg opp over tid. Automatisering, testing og opplæring av utviklerne er noen av tiltakene som foreslås.
![image: Russiskvennlige hackere bak en rekke "wiper-angrep" i 2022: - Vil treffe Norge](https://www.kode24.no/images/78421875.jpg?imageId=78421875&x=0&y=0&cropw=100&croph=100&width=154&height=106&compression=80 640w, https://www.kode24.no/images/78421875.jpg?imageId=78421875&x=0&y=0&cropw=100&croph=100&width=245&height=169&compression=80 1024w, https://www.kode24.no/images/78421875.jpg?imageId=78421875&x=0&y=0&cropw=100&croph=100&width=616&height=424&compression=70 320w)