Was sind die sichersten Programmiersprachen?

Welches sind die sichersten unter den am weitest verbreiteten Programmiersprachen? Das auf Dienstleistungen im Bereich Software-Security spezialisierte Amerikanisch-israelische Unternehmen Whitesource hat sich diese Frage gestellt, und versucht, sie anhand einer Analyse von in Applikationen gefundenen Schwachstellen zu beantworten.In einem Report nimmt Whitesource C, PHP, Java, JavaScript, Python, C++ und Ruby unter die Lupe. Whitesource analysierte die in den vergangenen zehn Jahren gefundenen und veröffentlichten Schwachstellen in mit diesen Sprachen geschriebener Open-Source-Software. Verglichen wurden die Zahl, Schwere und Art der Schwachstellen.Um es gleich vorweg zu nehmen: Beantworten kann der Whitesource-Report die Eingangs gestellte Frage nicht. Zwar ergibt die Anzahl der gefundenen Schwachstellen eine auf den ersten Blick klar scheinende Rangliste: Fast die Hälfte aller Schwachstellenfanden sich in C-Software (47 Prozent). Dahinter folgen PHP (17 Prozent), Java (11 Prozent), JavaScript (10 Prozent), Python (5 Prozent), C++ (5 Prozent) und Ruby (4 Prozent).Aber das Alter und die Popularität dieser Programmiersprachen ist höchst unterschiedlich und dadurch auch die Menge des mit ihnen geschriebenen Codes, wie Whitesource selbst klarstellt. C beispielsweise wird schon seit 1972 verwendet, und steckt weiterhin im Kern vieler Softwareanwendungen und Plattformen, die heute verwendet werden. C wegen der Schwachstellenzahl als unsicherer zu bezeichnen als die anderen Programmiersprachen wäre also nicht legitim.Auch ein Vergleich der Schwere der Schwachstellen gibt kein klareres Bild beim Vergleich der Sprachen.Zwei generelle Erkenntnisse: 2017 stieg die Zahl der publizierten Schwachstellen für alle Sprachen stark an. 2018 liess sie wieder etwas nach, blieb aber auf hohem Niveau. Das gleiche gilt noch viel stärker, wenn man nur die schwerwiegenden Schwachstellen zählt. Aber: Der Anteil der schwerwiegenden an den insgesamt gefunden Schwachstellen nahm, ausser bei JavaScript und PHP, ab, sagt Whitesource. (hjm)