最安全的编程语言当属谁？！

最近开源安全公司WhiteSource报告了编程语言的安全性，提出了一个新问题——“哪种编程语言最安全？”
编程语言之争一直是开发者社区的一个热门问题，但讨论的过程往往伴随着双方的愤怒和和谐的破坏。许多开发人员喜欢证明他们使用的编程语言占主导地位，这通常是安全的。
近日WhiteSource年度报告了七种流行编程语言的安全性。报告总结了国家漏洞数据库等多种来源的开源漏洞信息，如国家漏洞数据库（NVD），安全公告，GitHub问题追踪器（IssueTracker）以及流行开源项目问题跟踪器。
WhiteSource根据开源社区过去几年使用的一些流行语言，确认了七种流行的编程语言：C，Java，JavaScript，Python，Ruby，PHP和C++。
基于这些编程语言，WhiteSource搜索数据库，查看过去十年每种语言中已知的开源安全漏洞的数量，随着时间的推移，这些安全漏洞的变化，以及最常见的语言CWE（CommonWeaknessEnumeration，一般缺陷列表)。
报告显示，过去10年不同语言的开源漏洞总数显然是C语言，占近一半。
但这并不意味着C语言的安全性远低于其他流行语言。这么高的比例有几个因素可以解释:
一是C语言在调查语言中使用时间最长；
二是C语言一般编写大量代码；
三是OpenSSL和LinuxC语言是核心等基础设施背后的主要语言之一。
这些因素的结合，如时间、体积和中心性，可以解释为什么C语言有这么多已知的开源安全漏洞。
报告还显示，随着时间的推移，不同编程语言的开源安全漏洞数量发生了变化。
在过去的十年里，他们有自己的高点和低点，但所有的语言都有一个突出的趋势，即在过去的两年里，所有已知的语言安全漏洞的数量都显著增加。这可以看作是安全漏洞意识的提高和开源的普及。随着开源安全研究投资资源的增加，人们发现的安全问题数量也会增加。
这些漏洞有多严重？调查人员研究了高严重性开源安全漏洞（CVSSv当得分高于7分时，发现除了7分，JavaScript和PHP，报告中涉及的严重语言漏洞大多处于下降趋势。
这可能是安全研究人员使用自动化工具的结果。虽然在这些工具的帮助下，过去几年大多数语言的中等漏洞一直在增加，但这些工具通常找不到复杂和严重的安全问题。
调查人员还研究了每种常见语言CWE。其中，跨站脚本攻击（XSS，也被称为CWE-与输入验证(验证(又称输入验证(也称输入验证(也称输入验证(也称输入验证)CWE-20)占据了最常见的位置。另外比较突出的。CWE有信息泄漏（CWE-200)，路径遍历（CWE-22)权限和访问控制（CWE-264)，不正当访问控制（CWE-284）等。
“我的编程语言比你更安全”类似的话题可以是消磨时间的有趣方式。关于哪种编程语言最安全的讨论往往会有一些有趣的观点，但找到最终的答案可能无法帮助你创建创新和安全的软件。
如今，大多数软件开发都依赖于各种编程语言，而不是执着于某种编程语言。掌握已知的开源漏洞，了解团队使用的编程语言的优缺点，是确保软件项目从一开始就安全的好方法。
最安全的编程语言没有最终的赢家。WhiteSource研究的最后一个结论是，编程语言的安全性与语言本身无关，而是取决于用户的使用方式。开发团队采用了适当的管理方法来减少整SDLC(系统生存周期)漏洞，是保证工程安全的好选择。