OWASP十大安全趨勢(shì)榜單會(huì)根據(jù)當(dāng)權(quán)安全形式不時(shí)對(duì)內(nèi)容進(jìn)行調(diào)整，旨在更好地反映現(xiàn)實(shí)情況的具體變化。

而作為內(nèi)容調(diào)整的核心議題，可以看到越來(lái)越多從業(yè)者意識(shí)到應(yīng)用程序安全性必須立足于軟件開發(fā)流程。

應(yīng)用程序與API的安全威脅格局正在不斷變化，促成這種演變的關(guān)鍵性因素則包括新型技術(shù)的快速普及(包括云計(jì)算、容器與API)、軟件開發(fā)流程(如敏捷開發(fā)與DevOps)的加速與自動(dòng)化、第三方庫(kù)及框架的爆炸式增長(zhǎng)外加攻擊者自身的技術(shù)水平提升。這些因素的出現(xiàn)往往會(huì)增加分析應(yīng)用程序與API的難度，同時(shí)亦給安全格局造成深遠(yuǎn)影響。

因此，OWASP十大安全趨勢(shì)榜單亦需要進(jìn)行持續(xù)更新。

OWASP十大安全趨勢(shì)榜單變化解析-E安全

OWASP Top 10榜單根據(jù)威脅出現(xiàn)的頻率、嚴(yán)重程度等進(jìn)行添加、刪除、以及合并

根據(jù)OWASP Top 10原作者兼Contrast Security公司創(chuàng)始人杰夫-威廉姆斯(Jeff Williams)所言，多年來(lái)根據(jù)威脅出現(xiàn)的頻率、嚴(yán)重程度等不斷對(duì)榜單中的內(nèi)容進(jìn)行添加、刪除、合并與拆分，不過(guò)今年的榜單在內(nèi)容上與2003年的版本非常相似。在2017年發(fā)布的最新版本中，具體變化列舉如下：

一、重新合并：

2013-A4：不安全對(duì)象直接引用;

2013-A7：功能層級(jí)訪問(wèn)控制缺失。

以上二者合并為2017-A4：訪問(wèn)控制問(wèn)題。

早在2007年，OWASP曾將訪問(wèn)控制問(wèn)題拆分為這兩項(xiàng)，旨在分別對(duì)應(yīng)數(shù)據(jù)與功能層面的訪問(wèn)控制隱患。但在新版本中，二者再度被合并為一體。

二、新添加了2017-A7：攻擊檢測(cè)與預(yù)防不足：

多年以來(lái)，OWASP一直在考慮添加保護(hù)能力不足一項(xiàng)以反映現(xiàn)有體系在面對(duì)自動(dòng)化攻擊活動(dòng)時(shí)的無(wú)力?；跀?shù)據(jù)收集結(jié)果，我們發(fā)現(xiàn)大多數(shù)應(yīng)用程序及API都缺乏對(duì)手動(dòng)及自動(dòng)化攻擊行為進(jìn)行檢測(cè)、預(yù)防及響應(yīng)的基本功能。應(yīng)用程序與API擁有者還需要有能力快速部署安全補(bǔ)丁，從而預(yù)防攻擊活動(dòng)。

三、新添加了2017-A10：未受保護(hù)的API

現(xiàn)代應(yīng)用程序與API通常涵蓋富客戶端應(yīng)用程序，包括瀏覽器中的JavaScript與移動(dòng)應(yīng)用等需要接入某種API(SOAP/XML、REST/JSON、RPC、GWT等)的場(chǎng)景。這些API通常未受保護(hù)且包含大量安全漏洞。為了確保相關(guān)企業(yè)能夠注意到這一重要新興風(fēng)險(xiǎn)，于是添加了這一項(xiàng)。

四、移除了2013-A10：未經(jīng)驗(yàn)證的重定向與轉(zhuǎn)發(fā)

OWASP在2010年的版本中增加了這一類別，旨在提高行業(yè)對(duì)此問(wèn)題的關(guān)注。然而數(shù)據(jù)顯示，這項(xiàng)問(wèn)題并不像預(yù)期中那樣普遍存在。在該問(wèn)題在榜單上駐留了兩個(gè)版本之后，本次將被剔除。

榜單變化的具體原因：

今年OWASP Top 10的變化，雖然“應(yīng)用程序拒絕服務(wù)”與“未經(jīng)驗(yàn)證的重新定向與轉(zhuǎn)發(fā)”等問(wèn)題仍然存在，但這次由于出現(xiàn)頻率顯著下降和危害及嚴(yán)重程度降低而被移出榜單。

攻擊保護(hù)不足”被添加到第7的位置，當(dāng)前排名第4的“不安全直接對(duì)象引用”和排名第7的“功能級(jí)訪問(wèn)控制缺失”合并之后的分類被命名為“失效的訪問(wèn)控制”并且排名第四，這等于說(shuō)“功能級(jí)訪問(wèn)控制缺失”的問(wèn)題越來(lái)越突出。

如下圖：

OWASP十大安全趨勢(shì)榜單變化解析-E安全

在杰夫看來(lái)，2017年的榜單反映了自2013年至今整個(gè)軟件行業(yè)所出現(xiàn)的現(xiàn)代高速軟件開發(fā)趨勢(shì)。盡管仍有許多漏洞持續(xù)存在，但對(duì)于現(xiàn)代軟件而言，API的加入與攻擊保護(hù)應(yīng)當(dāng)被作為高優(yōu)先級(jí)事務(wù)加以關(guān)注。

杰夫認(rèn)為應(yīng)用程序安全，必須立足于軟件開發(fā)流程制定解決方案。軟件開發(fā)者能夠直接利用現(xiàn)有平臺(tái)中提供的強(qiáng)大功能，但若不采取有效的預(yù)防措施，攻擊者根據(jù)開發(fā)則的這些習(xí)慣必將找到新的突破點(diǎn)并加以利用。作為開發(fā)者，我們不僅需要建立防御體系，同時(shí)亦肩負(fù)著應(yīng)對(duì)及阻止攻擊活動(dòng)的責(zé)任。對(duì)于這一切，開發(fā)者絕不能繼續(xù)坐視安全漏洞肆虐。

備注：這份Top 10榜單著眼于各類高風(fēng)險(xiǎn)范疇，且具體范疇并未經(jīng)過(guò)嚴(yán)格的無(wú)交集分類。其中部分風(fēng)險(xiǎn)范疇與攻擊者相關(guān)，其它一些則可能涉及安全漏洞、防御機(jī)制或者現(xiàn)有資產(chǎn)。各類組織機(jī)構(gòu)可以根據(jù)這個(gè)榜單制定更加符合實(shí)際的應(yīng)對(duì)措施，從而消除此類安全隱患。