Tehnologija

Da li je vrijeme za preispitivanje Owasp Top 10?

anketa.plus
Izvor: anketa.plus
Da li je vrijeme za preispitivanje Owasp Top 10?

OWASP Top 10 služi kao ključna referentna točka za programere i profesionalce za sigurnost, ali s novom iteracijom na horizontu moramo se suočiti sa teškom istinom: Da li je izgubila svoju efikasnost, ili ga nismo smisleni proveli smisleno?

Od

  • Tim Mackey, Crna patka

Objavljeno: 23. jul 2025

Otvoreni projekt sigurnosne aplikacije Worldwide (OWASP) zaslužio je reputaciju pouzdanog tijela u sigurnosti aplikacije. Njegov najpoznatiji doprinos, Owasp Top 10, služi kao ključna referentna točka za programere i profesionalce za sigurnost, na kojim se nalaze najvažniji rizici web aplikacija. Od svog debija, on je prvenstven kao temeljni resurs za siguran razvoj softvera. Ali s novom iteracijom na horizontu moramo se suočiti sa teškom istinom: Da li je Owasp Top 10 izgubila svoju efikasnost ili ga nismo uspjeli smisleno implementirati?

Nema negiranja da Owasp Top 10 igra vrijednu ulogu u podizanju svijesti. Međutim, uporno prisustvo istih ranjivosti u višestrukim izdanjima, poput napada ubrizgavanja, skripta na poprečnom mjestu (XSS), provjere autentičnosti i pogrešnofiguracija postavlja zabrinutost. Uprkos tome što je široko poznato, ta se pitanja nastavljaju na razvoj softvera. Rast broja ranjivosti zabilježenih svake godine u bazi CVE-a podvlači ovaj zabrinjavajući trend. Umjesto da se vidi poboljšanja, normalizirali smo mnoge od tih mana. Dakle, zašto smisleni napredak ostaje neuhvatljiv?

Šta zadržava Owasp Top 10?

Po mom mišljenju, tri osnovna pitanja sprečavaju OWASP top 10 od vožnje realne promjene: programeri često nemaju okolišnu kontekst, sigurnosno obrazovanje se ne može umanjivati, a sama popis nije lako djelovati.

1. Programeri nemaju pravi kontekst

Današnji programeri obično rade unutar definiranih priča korisnika i primarno se procjenjuju na temelju isporuke funkcija, a ne sigurnosna razmatranja. Često im nedostaje uvid u koji će njihov kod funkcionirati u scenarijima u stvarnom svijetu. Da li je to dio financijske usluge? Aplikacija za javno lice? Ili nešto osjetljivije, poput zdravstvene platforme? Kontekst je lako imati kada se softver kreira samo za određene proizvode ili za upotrebu unutar četiri zida kompanije.

Ali kada kontekst nedostaje programerima ostaju da se pretpostavke nehotice mogu uvesti rizik. Problem je složen o načinu na koji industriji tretira uloga za programere: pretpostavljajući jedinstvenu razinu znanja prema nazivu posla, kada u stvarnosti, obuka i iskustvo značajno se razlikuju. Ovo je posebno problematično u eri u kojem je AI generirani kod u porastu. Ako je taj kod informiran nesigurnim obrascima, ili ako programeri nisu opremljeni za uočavanje potencijalnih opasnosti, rizici se množe.

Razmislite o ovome: Kada se šifra ne koristi preko paketa SDKS, API-ja ili otvorenog koda ili nakon sticanja kompanije, originalna svijest programera o tome kako će se kodeks koristiti često nestaje. Dalje uklonjen programer je od krajnjeg korištenja, teže je da je to faktor u odgovarajućim mjerama sigurnosti.

2. Sigurnosno obrazovanje opada

Osvješćenost ne razumije razumijevanje. I razumijevanje se ne događa bez odgovarajućeg obrazovanja.

Prema posljednjem izveštaju izgradnje u ročnoj modelu (BSIMM), sada u 15. izdanju obuka za podizanje svesti sigurnosti u organizacijama pala je za gotovo 50% od 2008. godine. Ovo je posebno alarmantno s obzirom na površinu raste i zatezanja regulatornih zahtjeva.

Jednokratne sigurnosne prezentacije ili cirkulirajuće dokumente nisu dovoljni. Programeri trebaju kontinuirani, praktični trening koji se usklađuju sa okruženjima i tehnologijama u kojima rade. Bez njega, OWASP TOP 10 rizika postaju provjera vježbanja po kutiji, a ne katalizator za siguran razvoj.

3. Lista bez akcije

Podizanje svijesti samo je jedan dio rješenja. Bez alata i procesa za djelovanje na to znanje, Owasp Top 10 ostaje pasivan. On prikazuje rizike, ali nedostaju ugrađenim savjetima sa sanacije, okvire prioriteta ili mehanizme za odgovornost. Kao rezultat toga, oba programera i sigurnosni timovi mogu je smatrati tuđom odgovornošću. Statičke liste ne nadahnjuju dinamičke promjene ukoliko ne postoji ekosustav koji bi ih operacionalizirali.

Sigurnost softvera nadilazi web aplikacije

Druga ključna ograničenja OWASP Top 10 je njegova uska fokusiranje na web aplikacijama. U današnjem digitalnom pejzažu, prijava se rasponimaju više od weba; Oni uključuju mobilne platforme, APIS, ugrađeni sistemi i crkvene arhitekture u oblaku.

Da biste stekli širu i relevantniju perspektivu, vrijedno se okrećim resursima poput Miter-ovog CWE top 25, što ističe softverske slabosti softvera bez platforme na osnovu koliko često iskorištavaju i ozbiljnost njihovog utjecaja.

Evo statističke statistike: 40% ranjivosti u 2024 CWE TOP 25 uopće se ne odražava na Owasp Top 10. Jedna od najčešće iskorištenih pitanja, CWE-787, napisana napisana, potpuno je odsutna. To je zato što se Owasp fokusira na web ranjivosti, dok CWE smatra potpuni softverski ekosustav. Ovo isključuje prekrivači komadni pogled na sigurnost i može ostaviti značajne slijepe mrlje.

Stigla je starost odgovornosti

Ako je sigurnost aplikacije nakon što je jednom naglasila podizanje svijesti, regulatorne sile sada uzivaju u novoj eri izvršenja. Na primjer, digitalno operativno sredstvo za otpornost (DORA), na snazi od 2025. januara, nameće rigorozne standarde za finansijske institucije, uključujući mandate za reakciju incidenta i procjene treće strane. Usklađenost više nije izbor.

Gledajući unaprijed, Zakon o cyber otpornosti (CRA), zakazan za izvršenje 2027. godine, uvode obavezne sigurnosne obaveze za sve povezane hardver i softver koji se prodaju u EU. Kazne za neusklađenost su dovoljno značajne za snimanje pažnje na nivou ploče.

Ovi propisi predstavljaju jasnu evoluciju od preporuke za obavezu. Kompanije koje ne izgrade proaktivne sigurnosne programe izgubit će povjerenje na tržište i na kraju, relevantnost.

Poduzimajući akciju: šta bi se sada trebalo dogoditi

Ako se vaša sigurnosna strategija oslanja isključivo na Owasp Top 10, vrijeme je da proširite svoj pristup. Koristite ga kao pokretač, a ne odredište. Uparite ga sa sveobuhvatnijim resursima poput CWE top 25 za snimanje punije slike modernih prijetnji.

Opremite programere sa organom i alatima. Integrirajte siguran razvoj u CI / CD cjevovode. Navedite neposredne povratne informacije o sigurnosti tokom razvoja, a ne samo nakon implementacije. Napravite sigurnosni sastavnicu za završetak proizvoda, a ne pokupi.

Trening se takođe treba razviti. Programeri zahtijevaju kontekstualno obrazovanje prilagođeno njihovim okruženjima, tehnološkim hrpama i poslovnim rizicima. Generalizovani kursevi to neće presjeći.

Uz to, izmjerite svoj program protiv podataka u stvarnom svijetu. Resursi poput BSIMM-a otkrivaju ono što rade uspješne organizacije. Koristite ove uvide u referentnu vrijednost i kontinuirano poboljšavati svoje prakse.

Konačno, stvorite jasne linije odgovornosti. Napravite sigurnosne mjerne podatke dijelom redovnih recenzija. Povežite ih na poticaje. Jer kad sigurnost postane dio osnovnog poslovnog procesa, održiva promjena postaje moguća.

Zaključno

Suočavali smo se sa istim ranjivostima u Owasp Top 10 već više od 15 godina. Tokom tog vremena vidjeli smo ogromnu inovaciju, od Cloud Computing do umjetne inteligencije, a još uvijek smo umrli poznatim nedostacima poput grešaka ubrizgavanja i slomljenim autentičnošću.

Dakle, možda pitanje nije da li Owasp Top 10 nije uspio. Pravo pitanje je: Zašto nismo poduzeli veću akciju na osnovu onoga što već znamo?

Tim Mackey je šef lančanog lanca softvera u crnom patku.

Pročitajte više o sigurnosnim i kodiranjem aplikacija

  • Kako provesti procjenu rizika od API-ja i poboljšanje sigurnosti

    Napisao: Paul Kirvan

  • Otvorite sigurnost web aplikacije (OWASP)

    Napisao: Peter Loshin

  • Sigurnost aplikacije

    Napisao: Peter Loshin

  • Neuspjeh u otkrivanju otvorenog koda stavljaju korisnike u rizik

    Napisao: Cliff Saran