OWASP Top 10 四年后更新,许多相同问题仍在影响应用程序
OWASP基金会公布了2025年OWASP Top 10清单的第一个发布候选版本,该清单列出了开发者最应关注的关键安全问题。
更新后清单中的十大安全关切包括:
- 失效的访问控制
- 安全配置错误
- 软件供应链故障
- 加密失败
- 注入
- 不安全设计
- 身份验证失败
- 软件或数据完整性故障
- 日志记录和警报故障
- 异常条件处理不当
这份清单包含了许多与2021年版本相同的关切点,但有一些显著变化,例如2021年排名最后的服务器端请求伪造(SSRF)被归入了失效的访问控制类别。
此外,新增了一个类别“软件供应链故障”,包含了2021年排名第六的“易受攻击和过时的组件”。“异常条件处理不当”首次进入榜单,包含了与不当错误处理、逻辑错误、失败开放和其他相关场景相关的CWE。
报告的主要作者之一Brian Glas表示:“异常条件处理不当是一个多年来一直徘徊在Top 10之外的类别。在这次迭代中,有足够的数据和社区调查支持,使其成功进入Top 10。”
失效的访问控制保持了其作为首要关切的地位,在OWASP测试的应用程序中,有3.74%包含此类别中的40个CWE中的一个或多个。
加密失败、注入和不安全设计在列表中的排名下降,而安全配置错误上升至第二位。
OWASP Top 10的确定基于两种主要的数据收集方法。主要方式是公司贡献了2020年至2024年间来自SAST、DAST、IAST和其他安全测试的发现。这些数据包括了超过280万个被测试的应用程序。第二种方法是社区调查,以考虑行业可能尚未开发出足够测试的新漏洞类别。
Glas说:“理解我们为何以这种方式构建Top 10至关重要。如果纯粹由数据驱动,我们将无法得到准确的列表,因为它只会回顾过去。社区调查至关重要,它使一线人员能够分享他们认为重要、需要可见性和关注的风险,这些风险可能无法在数据中反映出来。”
Glas总结说,这次更新的OWASP Top 10突显了一个事实:软件开发正变得越来越复杂,开发者被要求对更多事情负责。他引用了软件供应链故障和安全配置错误的增加作为这一变化的证据。
2025年OWASP Top 10将开放评论至11月20日。