Veracode altı ayda bir hazırladıkları Yazılım Güvenliğinin Durumu Raporu’nu (State of Software Security (SOSS) Report) yayınladı. Raporda 200.000’in üzerinde uygulama ve trilyonlarca satır kod inceleniyor. Raporun amacı farklı programlama dillerinin ve platformlarının önemli güvenlik sorunlarıyla ne gibi bağlantıları olabileceğini analiz etmek. Araştırma sonucunda bazı programlama dillerinin diğerlerine nazaran güvenlik risklerine daha açık olduğu tespit edildi. Rapordan çıkartılan üç önemli sonuç şu şekilde:
1) En çok dikkati çeken ve endişe yaratan olgu PHP’nin güvenlik bakımından yüksek bir risk teşkil etmesi. PHP’yle yazılan uygulamaların %86’sında en az bir XSS komut çalıştırma açığı olduğu, %81’inin OWASP Top 10 standartlarını yerine getiremediği, %56’sında ise en az bir SQL injection açığı olduğu görüldü.
2) Mobil uygulamaların büyük çoğunluğunda geliştiricilerin kötü kripto yazımı nedeniyle kriptografik sorunlar bulunmakta. Raporda incelenen Android uygulamalarının %87’sinde, iOS uygulamalarının ise %80’inde kriptografik sorunlar olduğu görüldü.
3) Java ve .NET en güvenli diller arasında çünkü tasarımları sayesinde arabellek taşması (Buffer Overflow) neredeyse tamamen engelleniyor. Bu iki dil SQL injection ve çapraz XSS komut çalıştırma saldırılarını önleme bakımından en iyi performansı sergiledi.
Bulgular PHP’nin yeni geliştiriciler için Java ve .NET’e göre daha erişilebilir olduğunu gösteriyor. Aynı zamanda geliştirme seçeneklerinin daha dikkatli değerlendirilmesinin önemini de belirtiyor.