OWASP Top 10十七年演变史

自2003年发布首个版本以来,OWASP Top 10在17年间发布了6个版本 (2003 – 2004 – 2007 – 2010 – 2013 – 2017)。而当前最新版本仍然是2017版:https://owasp.org/www-project-top-ten/ 。这就2020年了,可以期待一下今年会不会发布新版 🙂

根据官网的描述:

OWASP Top 10是针对开发人员和Web应用程序安全性的标准安全意识文档。 它代表了对Web应用程序最严重的安全风险的广泛共识。
公司应采用此文档,并开始确保其Web应用程序将这些风险降至最低的过程。 使用OWASP Top 10可能是将组织内的软件开发文化转变为产生更安全代码的文化的最有效的第一步。

让我们来看看过去的6个版本都有哪些变化:

可以看到,伴随着互联网浪潮,注入漏洞 (Injection) 一路水涨船高,近三个版本更是牢牢占据榜首。2017年版新增了三种漏洞类型:XML外部实体 (XXE)、不安全的反序列化 (Insecure deserialization)、不足的日志记录和监控 (Insufficient logging and monitoring)。

对这些漏洞的具体解读,推荐大家阅读OWASP Top 10中文翻译项目组的作品:http://www.owasp.org.cn/owasp-project/2017-owasp-top-10

对于企业信息安全建设,从来没有终点,希望所有安全相关从业者都关注对照OWASP Top 10,利用好最佳实践,结合自身环境,多方位持续性地自查风险、改善,采取有重点的保护防范措施,在人、技术(工具)、流程三个维度提高业务系统安全性。

 1,014 total views,  2 views today