日本中ののぼりを「カレーライス」にしようw - ikepyonのお気楽な日々〜技術ネタ風味〜

セキュリティ

生真面目やなぁw

ちと、ネタで書いたことに、まっちゃさんに変な誤解を与えたようなので、調べてみる。
データの元はhttp://nvd.nist.gov/を使う。このサイトが何かはがんばって読んでみてw
で、ここで、PHP自身の脆弱性の数を調べてみる。

PHP言語の脆弱性

Year 2007 2006 2005 2004 2003 2002 2001 2000
# of Vulns 82 35 17 6 11 12 4 2
% of Total 2% 1% 0% 0% 1% 1% 0% 0%

今年発見された脆弱性が妙に多いのは、MOPBで公開されたためだろう。

てか、Tomcatも少ないねぇ。

Tomcat脆弱性

Year 2007 2006 2005 2003 2002 2001 2000
# of Vulns 14 1 6 7 11 4 3
% of Total 0% 0% 0% 1% 1% 0% 0%

2007年は特殊なので除外するとしてそれ以外を見ると、確かにPHPは総数は多いけど、PHPが特別にひどいというわけではないのはないんじゃないかなぁ?

母数が違うと脆弱性のパーセンテージも変わってくるんでしょうけど、それにしても多いですよね。

PHPだけ、、、っていうと少ないのかな?言語としてのPHPPHPを使うソフトとしての脆弱性2側面あるよね。
これは、PHPを使うソフトの脆弱性をとってますよね?

で、本当はPHPのアプリの脆弱性の数とJavaのアプリの脆弱性の数を比較してみたかったんだが、統計取るのが面倒そうなので、ちょっと割愛。そのうち取ってみるかも。

結論:PHP言語自体には問題があるかもしれないけど、OSとかWebサーバとかと比べてみても、PHP自体が特別危険というわけではないかも。

あと非オープンソースオープンソースでは比較にならない気がする・・・こんなの比較しそうなのは、id:into_the_blueタンくらいw