فیلم های آموزشی
کتاب های آموزشی
مقالات آموزشی
همانند سایر جنبه های امنیت سایبری، سطح امنیت یک زبان برنامه نویسی، به معنی ما از کلمه “امنیت” بستگی دارد. جاوا نسبت به سایر زبان های متداول دیگر، آسیب پذیری یا Bug شناسایی شده کمتری دارد. همچنین برخی زبان های جدیدتر حداقل در نگاه اول ایمن تر از جاوا هستند. در ادامه به بررسی امنیت در جاوا خواهیم پرداخت.
جاوا زبان بسیار محبوبی است و همین محبوبیت دلیلی می شود تا هزاران به اصطلاح شکارچی حفره های امنیتی، وقت خود را صرف پیدا کردن باگ در جاوا اختصاص دهند.
در ادامه بررسی خواهیم کرد که رایج ترین زبان های برنامه نویسی از نظر امنیت چگونه رتبه بندی می شوند. برخی از عواملی که باعث می شود یک زبان نسبت به زبان دیگری امن تر باشد و اینکه چرا در چند سال گذشته باگ های شناسایی زیاده شده است را توضیح خواهیم داد. همچنین چند روش را توضیح می دهیم تا توسعه دهندگان جاوا بتوانند آسیب پذیری های کدشان را کاهش و امنیت در جاوا را افزایش دهند.
امنیت در جاوا چقدر است؟
تحقیقات اخیر در مورد آسیب پذیری های متداول ترین زبان های برنامه نویسی از یک پلتفرم open-source به نام WhiteSource انجام گرفته است. این پلتفرم 7 زبان برنامه نویسی محبوب متن باز را بررسی کرد: زبان های C، جاوا، جاوا اسکریپت، پایتون، روبی، PHP، ++C. تحلیلگران از منابع مختلفی برای رتبه بندی این زبان ها بر اساس تعداد آسیب پذیری های امنیتی شناخته شده استفاده کردند.
بر اساس این مطالعه، زبان C تاکنون آسیب پذیر ترین زبان با اختصاص داشتن 47 درصد از کل باگ های گزارش شده بوده است. البته این نتایج برنامه نویسان با تجربه را متعجب نخواهد کرد. زبان های دیگر به ترتیب PHP با 17% ، جاوا با 12% و جاوا اسکریپت با 11% جز 4 زبان صدر جدول هستند. در ادامه نیز زبان های پایتون، ++C و روبی قرار داشته اند.
درک امنیت زبان های برنامه نویسی
در مرحله بعدی باید بپرسیم که چرا برخی زبان های برنامه نویسی از برخی دیگر آسیب پذیر تر هستند. اول اینکه در نظر بگیرید زبان C بیش از هر زبان دیگری مورد استفاده قرار گرفته است.
C به عنوان قدیمی ترین زبان این لیست، در ی ک محیط تهدید کاملا متفاوتی نسبت به سایر زبان ها مانند پایتون و روبی توسعه یافته است. C همچنین برای توسعه بسیاری از نرم افزار های سیستمی و زیر ساختاری مانند OpenSSL و هسته Linux استفاده شده است. این ترکیب حجم و مرکزیت می تواند منجر به تعداد بیشتری آسیب پذیری متن باز شناخته شده شود.
اگرچه جاوا نسبتا در این رتبه بندی جایگاه خوبی دارد اما محققان 2 نوع آسیب پذیری را معرفی کردند که جاوا را به طور ویژه ای تحت تأثیر قرار می دهند. اول، آسیب پذیری که در مورد حملات log injection می باشد. از چنین حملاتی می توان با استفاده از اعتباز سنجی ورودی ها جلوگیری کرد.
دوم، جاوا در مقابل اکسپلویت هایی (exploit) که از آسیب پذیری های access-control پیروی می کنند، آسیب پذیر است. اگرچه صدور گواهینامه از سال 2013 بهبود یافته، بسیاری از توسعه دهندگان به گواهینامه هایی که از اعتبار کمتری برخوردار هستند، اعتماد می کنند. سازمان US-CERT در مورد هکر هایی که از این آسیب پذیری برای اجرای کد خود از راه دور بر روی کامپیتور هدف اجرا می کنند، هشداد داده است.
امنیت در جاوا
چگونه از آسیب پذیری های امنیتی جاوا جلوگیری کنیم؟
اگر شما برنامه های تجاری و حساسی را با جاوا توسعه داده اید یا در حال توسعه آن هستید، ممکن است اطلاع از آسیب پذیری های امنیتی شما را نگران کند. اما نگران نباشید! با وجود طرفداران زیاد این زبان که آن را برای پیدا کردن و رفع آسیب پذیری ها اسکن می کنند، توسعه دهندگان جاوا از نظر امنیت در جایگاه خوبی هستند.
حرکت به سمت گردش کاری DevSecOps
یکی از راه های کاهش خطرات باگ های امنیتی در جاوا، انتقال به یک گردش کار DevSecOps است. این نوع گردش کار باعث می شود تا “امنیت” بالاترین اولویت را در فرآیند توسعه نرم افزار داشته باشد. همه تیم های خود را در روند توسعه قرار دهید و اطمینان حاصل کنید که امنیت برای هر جنبه از پروژه در نظر گرفته شده است.
ارزیابی گردش کار امنیت
استفاده از این نوع گردش کار به تنهایی کافی نیست، بلکه باید آن را ارزیابی کرد. برنامه های وب شما ممکن است به خودی خود ایمن باشد، اما یکی از منابع ایجاد آسیب پذیری برای توسعه دهندگان، سیستم توسعه نرم افزار است. برای جلوگیری از این امر، اطمینان حاصل کنید که از یک VPN برای رمزگذاری تمام ارتباطات داخلی خود استفاده می کنید. همچنین حتما ذخیره سازی اطلاعات رمزگذاری شده را پاده سازی کنید.
دیدگاه ها
سوالات پیش از ثبت نام یا نظرات خود را در مورد این پست مطرح نمایید.