こんにちは、K.Kです😀
アメリカのWhiteSource Softwareという会社が2019年3月18日に脆弱性の多いプログラミング言語ランキングを発表したそうです。
日本のニュース「脆弱性が多いプログラミング言語、第2位はPHP – 第1位は?」に結果が載っていますが、ITと関わる上で脆弱性は決してなくならない問題の一つです。
プログラミング言語の主にJavaの脆弱性に関してまとめてみました。
脆弱性が多いプログラミングランキングでJavaは何位か
ずっと僕はJavaの開発をやってきているので、こういうのは気になります。
このランキングは、Githubや脆弱性情報から算出しているようです。
ニュースをみると順位は以下の通りです。
1位:C言語 (47%)
2位:PHP (17%)
3位:Java (12%)
4位:JavaScript (11%)
5位:Python (6%)
6位:C++ (6%)
7位:Ruby (5%)
Javaは3位でした。
こうみると50%近くあるC言語がすごく多いように見えます。
しかし、これはセキュリティに対して脆弱性が高いランキングではなく使用頻度と使用年数を考慮する必要があります。
C言語は歴史の長い言語なので、当然脆弱性情報も他の言語に比べて多くなってしまいます。
Javaの脆弱性に関して
Javaはランキングだと3位で1割ほどを占めていました。
開発はずっとWeb系システムなので、正直あまりJavaの脆弱性は考慮したことがありません。
外部から操作してサーバの奥までたどり着きJavaを悪用するケースがまずありえないからです。
しかし、ありえないからと言っても絶対にないとは言い切れません。
対策するとしたら主に以下の2点になるでしょう。
Java appletは使用しない
Java appletとは、JavaをWebブラウザ上で実行できるJavaアプリケーションの一種です。
こちらにもあるようにOracleももうJava appletを廃止しているので使わないのがいいでしょう。
「はじめから」のチャレンジ精神で、IT関連中心に日々の体験をつづっていくブログ ハジカラ - ハジカラ |
Javaのアップデートを行って最新の状態にする
いうまでもないことですが、定期的にリリースするOracleなどのバージョンアップデートは行いましょう。
アップデートは、機能の追加もありますが、脆弱性対策もあります。
どのような脆弱性が見つかったかは、OracleのサイトやIPAの情報セキュリティ報告を定期的に確認するのがいいでしょう。
今回の一言・・・
結局は、OracleやIPAのサイトやITニュースにアンテナを貼っておくのがいいでしょう。
ゼロデイ攻撃とかも怖いので、Javaの新しいバージョンがリリースされたらなるべく早くインストールすることです。
ここまで読んでくれてありがとう。
では、また次回。