ikepyonのだめ人間日記

セキュリティに関することを書いていく予定。

CVEでみるPHPアプリケーションセキュリティ

http://gihyo.jp/dev/serial/01/php-security/0001
今更ながらですがw
この統計の取り方はちょっとPHPに対して不利じゃないかな?
PHPRubyASPで開発されたアプリケーションの絶対数が違いすぎると思うんだよ。だから、前にも何度か統計とって見たけど、あまり意味のないもんだと書いてるんだが・・・
例えば、PHPは100個のアプリケーションがあり、平均すると1個のアプリケーションに対し、0.5個の脆弱性がある50個の脆弱性のあるアプリケーションがある。一方、Rubyは10個のアプリケーションがあり、平均すると1個のアプリケーションに対し、1個の脆弱性があるとする5個の脆弱性のアプリケーションがある。
そうすると、「PHPのアプリケーションで発見された脆弱性は50個に対して、Rubyのアプリケーションでは105個となり10倍の脆弱性がありました。」という結果しかえられない。実際には両方とも全体の50%のアプリケーションにしか脆弱性がないにもかかわらず・・・
これをもって、PHPはひどいといってるように思えるんだけど・・・
別にPHPを擁護するつもりもないし、Rubyを貶めるつもりもないけど、統計の魔術にはまってるなぁと。
PHPのアプリと他の言語のアプリで脆弱性数で安全な言語はどっちか?を判断するのであれば、1個のアプリあたり何個の脆弱性が見つかったのか?ってのを見ないといけないと思う。
もしかしたら、PHPのアプリの90%は脆弱性がなくて、Rubyのアプリの90%に脆弱性があるかもしれないし・・・多分そんなことはない気がするけど。
前にも書いた気がするけど、PHPの問題は一見するとセキュリティ対策っぽい対策や、きちんと影響を考えられずに便利だからという理由で実装された機能が散見されるところだと思う。
こういったところを、改善していけばよくなると思うんだよなぁ。