OWASP十大安全趨勢榜單會根據(jù)當權安全形式不時對內容進行調整，旨在更好地反映現(xiàn)實情況的具體變化。

而作為內容調整的核心議題，可以看到越來越多從業(yè)者意識到應用程序安全性必須立足于軟件開發(fā)流程。

應用程序與API的安全威脅格局正在不斷變化，促成這種演變的關鍵性因素則包括新型技術的快速普及(包括云計算、容器與API)、軟件開發(fā)流程(如敏捷開發(fā)與DevOps)的加速與自動化、第三方庫及框架的爆炸式增長外加攻擊者自身的技術水平提升。這些因素的出現(xiàn)往往會增加分析應用程序與API的難度，同時亦給安全格局造成深遠影響。

因此，OWASP十大安全趨勢榜單亦需要進行持續(xù)更新。

OWASP十大安全趨勢榜單變化解析-E安全

OWASP Top 10榜單根據(jù)威脅出現(xiàn)的頻率、嚴重程度等進行添加、刪除、以及合并

根據(jù)OWASP Top 10原作者兼Contrast Security公司創(chuàng)始人杰夫-威廉姆斯(Jeff Williams)所言，多年來根據(jù)威脅出現(xiàn)的頻率、嚴重程度等不斷對榜單中的內容進行添加、刪除、合并與拆分，不過今年的榜單在內容上與2003年的版本非常相似。在2017年發(fā)布的最新版本中，具體變化列舉如下：

一、重新合并：

2013-A4：不安全對象直接引用;

2013-A7：功能層級訪問控制缺失。

以上二者合并為2017-A4：訪問控制問題。

早在2007年，OWASP曾將訪問控制問題拆分為這兩項，旨在分別對應數(shù)據(jù)與功能層面的訪問控制隱患。但在新版本中，二者再度被合并為一體。

二、新添加了2017-A7：攻擊檢測與預防不足：

多年以來，OWASP一直在考慮添加保護能力不足一項以反映現(xiàn)有體系在面對自動化攻擊活動時的無力。基于數(shù)據(jù)收集結果，我們發(fā)現(xiàn)大多數(shù)應用程序及API都缺乏對手動及自動化攻擊行為進行檢測、預防及響應的基本功能。應用程序與API擁有者還需要有能力快速部署安全補丁，從而預防攻擊活動。

三、新添加了2017-A10：未受保護的API

現(xiàn)代應用程序與API通常涵蓋富客戶端應用程序，包括瀏覽器中的JavaScript與移動應用等需要接入某種API(SOAP/XML、REST/JSON、RPC、GWT等)的場景。這些API通常未受保護且包含大量安全漏洞。為了確保相關企業(yè)能夠注意到這一重要新興風險，于是添加了這一項。

四、移除了2013-A10：未經驗證的重定向與轉發(fā)

OWASP在2010年的版本中增加了這一類別，旨在提高行業(yè)對此問題的關注。然而數(shù)據(jù)顯示，這項問題并不像預期中那樣普遍存在。在該問題在榜單上駐留了兩個版本之后，本次將被剔除。

榜單變化的具體原因：

今年OWASP Top 10的變化，雖然“應用程序拒絕服務”與“未經驗證的重新定向與轉發(fā)”等問題仍然存在，但這次由于出現(xiàn)頻率顯著下降和危害及嚴重程度降低而被移出榜單。

攻擊保護不足”被添加到第7的位置，當前排名第4的“不安全直接對象引用”和排名第7的“功能級訪問控制缺失”合并之后的分類被命名為“失效的訪問控制”并且排名第四，這等于說“功能級訪問控制缺失”的問題越來越突出。

如下圖：

OWASP十大安全趨勢榜單變化解析-E安全

在杰夫看來，2017年的榜單反映了自2013年至今整個軟件行業(yè)所出現(xiàn)的現(xiàn)代高速軟件開發(fā)趨勢。盡管仍有許多漏洞持續(xù)存在，但對于現(xiàn)代軟件而言，API的加入與攻擊保護應當被作為高優(yōu)先級事務加以關注。

杰夫認為應用程序安全，必須立足于軟件開發(fā)流程制定解決方案。軟件開發(fā)者能夠直接利用現(xiàn)有平臺中提供的強大功能，但若不采取有效的預防措施，攻擊者根據(jù)開發(fā)則的這些習慣必將找到新的突破點并加以利用。作為開發(fā)者，我們不僅需要建立防御體系，同時亦肩負著應對及阻止攻擊活動的責任。對于這一切，開發(fā)者絕不能繼續(xù)坐視安全漏洞肆虐。

備注：這份Top 10榜單著眼于各類高風險范疇，且具體范疇并未經過嚴格的無交集分類。其中部分風險范疇與攻擊者相關，其它一些則可能涉及安全漏洞、防御機制或者現(xiàn)有資產。各類組織機構可以根據(jù)這個榜單制定更加符合實際的應對措施，從而消除此類安全隱患。

本文轉自d1net（轉載）

總結

以上是生活随笔為你收集整理的2017 OWASP十大安全趋势榜单变化解析的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。