高水準プログラミング言語には、低水準言語よりも脆弱性やセキュリティリスクがありますか？

事前の重要な警告：

どの言語でも、いつでも安全でなくなる可能性があり、開発者の注意力/意識だけがこれを修正できます。 SQLインジェクションは まだある です。高級言語には一般にevalがあり、ユーザー入力を評価するのに十分な能力がない場合は、得られる結果が得られます。

とはいえ、その逆です。ガベージコレクションを使用すると、バッファオーバーフローなどのメモリ管理に関連するセキュリティリスクのクラス全体を回避できます。高レベルの言語はより簡潔になる傾向があり、コードが少ないほど、バグを隠す場所が少なくなります。退屈なもの（および低レベル言語でのコーディング）は間違いなくエラーが発生しやすくなります。

下位レベルの言語には同じ表現力がないため、最初だけでなくコードベース全体に大量のボイラープレートコードを記述する必要があります。つまり、コードが何をすべきか（ビジネスロジックの観点から）を一目で見分けるのは必ずしも容易ではないため、自己文書化が少なくなり、コメントまたは外部ドキュメントの形式でより多くの文書化が必要になります。 。これにより、別のエラーの原因が発生します。ドキュメントが参照するコードが変更されたときにドキュメントが更新されない場合、関連コードのドキュメントにある古い仮定のために安全でない他のコードを書くことができます。

下位レベルの言語には強い型付けが欠けているため、コンパイラーがキャッチできるエラーはほとんどありません。これに対処するために Nim や Rust のようないくつかの興味深い試みがありましたが、どちらもまだ非常に人気があります。

最後に、確かに重要なことですが、高水準言語と低水準言語のrealの違いは、高水準言語が負担をプログラマーからインタープリター/コンパイラーに移すことです。これらのインタープリター/コンパイラーは、業界で最も優れた照明のいくつかによって作成および保守され、脆弱性などについて定期的に監査されます。一方、アプリケーションコードは人間によって作成されます。したがって、平均的なプログラマーによって書かれた多くのアプリケーションコードから、例外的なプログラマーによって書かれた比較的少ないコードに負担を移すと、より優れた人々によって書かれた監査するコードが少なくなるため、セキュリティが向上します。では、JVMとJoe BlowのCでの手動のバッファ管理のどちらを信頼しますか？

これらすべてはむしろ、人々が使いにくく、安全性が低いのに、なぜ低レベル言語を使うのかという疑問を投げかけています。理由はいくつかあります。

1） ゴールデンハンマー 。 「私たちはたくさんのCプログラマーを抱えており、奇妙なことにすべてのコードはCで書かれています」.

2）パフォーマンス。これは通常、やりがいのあることであり、安全性と開発の速度のトレードオフに値することはほとんどありませんが、ハードウェアからあらゆるパフォーマンスを引き出す必要があるゲームのような場合には、理にかなっています。

3）あいまいなプラットフォーム。上記の行に沿って、Cコンパイラは、RustコンパイラやJVMよりもはるかに簡単に作成できます。最初にコンパイラを実装する必要がある場合、Cから始める方がはるかに魅力的です。