本文介绍了在2025年华盛顿OWASP全球应用安全大会上发布的最新OWASP Top 10更新,这是自2021年以来最重大的改版。
核心变化概览
保持不变:
- 失效的访问控制(Broken Access Control) 仍居榜首,OWASP数据显示100%的受测应用都存在某种形式的访问控制问题
排名下降的三项风险:
- 加密失败(Cryptographic Failures)
- 注入攻击(Injection)
- 不安全设计(Insecure Design) - 该类别改善明显,得益于威胁建模的普及和安全设计理念的推广
排名显著上升的两项风险:
- 安全配置错误(Security Misconfiguration) 升至第2位
- 软件供应链失效(Software Supply Chain Failures) 升至第3位(取代"存在漏洞和过时的组件")
安全配置错误(第2位)
这已成为云和基础设施安全的首要问题,主要原因包括:
- 云环境事故频发:大量知名云安全事件源于客户配置错误
- 识别困难:不像漏洞有CVE编号,配置错误缺乏标识符,且"错误"标准主观——常因业务需求而接受风险
- 指导缺失:许多产品(尤其是新兴产品)缺乏CIS基准、DISA STIG等安全配置指南
- 凭证泄露最常见:是配置错误中最突出的问题
OWASP建议采取拒绝默认、定期加固、凭证扫描等措施。CISA也倡导"默认安全"理念,希望厂商产品出厂即硬化。
软件供应链失效(第3位)
这是新版引入的重要类别,涵盖:
- 攻击面扩大:恶意行为者同时针对开源项目和商业供应商
- AI带来的新风险:LLM产生幻觉包名后被恶意抢占(slopsquatting),以及生成含漏洞的过时代码
- 开发工具成为目标:Cursor、Windsurf、Claude等AI编程助手成为供应链攻击的新对象
OWASP为此专门开发了**安全管道验证标准(SPVS)**框架,用于评估和提升软件交付管道的安全成熟度。
AI在应用安全测试中的应用
文章提到集成AI的静态应用安全测试(SAST)工具展现出潜力:
- 通过理解代码语义和数据流,更好检测复杂业务逻辑缺陷
- 早期研究显示可显著降低误报率
总结
OWASP Top 10是应用安全领域的基石标准,2025版反映了云原生环境复杂性、供应链攻击升级和AI开发工具普及等新趋势。作者强调,Top 10只是起点而非终点,安全是一个持续的过程而非最终产品。建议读者查阅完整文档获取各风险的详细描述和缓解建议。
京公网安备 11010502044969号