據軟件測試公司Veracode最新的報告，超過四分之三使用 Java 和 .NET 編寫的應用程序至少存在一個以上的 OWASP Top 10 漏洞。OWASP Top 10 是根據開放 Web 應用程序安全項目公開共享的 10 個最關鍵的 Web 應用程序安全漏洞列表。

Veracode對76萬個應用程序的安全性進行分析之后發現，使用Java、.NET編程生態系統的應用程序中，大約有20%的應用程序至少存在一個高嚴重性或嚴重性漏洞。

平均每個應用程序每月出現一個及以上安全漏洞的幾率超過27%，編寫不當的應用程序和不經常掃描的應用程序可能存在更多缺陷。但安全流程歷史較長且由訓練有素的人編寫的應用程序數據顯示，開發人員不太可能引入新的缺陷。

Veracode 戰略產品管理副總裁 Tim Jarrett 表示，該分析強調了將安全性集成到開發管道中的重要性。

另一方面，應用程序中的缺陷和漏洞卻并沒有得到快速修復。雖然開發人員和開源項目正在努力修復軟件缺陷，但報告結果顯示，平均漏洞的半衰期依舊是以“月”為單位，而不是幾天或幾周。

例如，在占所有樣本量71%的Java 和 .NET 應用程序中，分別被發現一半以上的漏洞在243天和158天后，依舊沒有完全修復。

Veracode報告

應用程序膨脹和老化也對安全性產生了重大的負面影響。平均應用程序積累了大約 40% 的代碼，并且更容易出現漏洞。大約 54% 的兩年前應用程序存在缺陷，五年的應用程序缺陷率達到69%。

JavaScript 的安全性更高

令人驚訝的是，用 JavaScript 或使用其中一種 JavaScript 框架編寫的應用程序出現漏洞的幾率更小。某項調查研究顯示，大約 80% 的 Java 和 .NET 應用程序存在漏洞，20%存在高危漏洞；而使用 JavaScript 的應用程序只有56%存在漏洞，高危漏洞不到10%。

Veracode 戰略產品管理副總裁 Tim Jarrett 表示JavaScript 框架更新、更安全，并且具有開源生態系統的優勢。

此外，如果 Java 應用程序中的漏洞是第一方問題——讓開發人員解決問題——在 JavaScript 和 Node.js 框架中，漏洞通常是第三方問題，因為漏洞發生在軟件所依賴的組件中。

參考來源：https://www.darkreading.com/threat-intelligence/java-net-developers-frequent-vulnerabilities