OWASP Top 10 2025 RC1
Az OWASP Top 10 listájához két új kategóriát adtak hozzá, a Software Supply Chain Failures és a Mishandling of Exceptional Conditions. Az új verzióban a legfontosabb változások közé tartozik, hogy az eddigi Server Side Request Forgery (SSRF) külön kategóriája megszűnik, mert az most már beépült a Broken Access Control kategóriába. Ugyanakkor a Security Misconfiguration előrelépett második helyre, és újként került be az előbb említett Software Supply Chain Failures, ami a szoftver-összetevők- és terjesztési lánc gyengeségeire fókuszál — a komponensfüggőségek, build-rendszerek és terjesztési infrastruktúrák biztonságának elhanyagolása most már önálló kockázati kategória lett.
A másik új kategória, Mishandling of Exceptional Conditions, a rendellenes állapotok hibás kezelése, az open-by-default konfigurációk, logikai hibák és nem várt problémakezelés gyengeségeit foglalja össze — annak felismerése, hogy nem csak klasszikus sebezhetőségek, hanem a kivétel-kezelés vagy hibakezelés hiányosságai is súlyos biztonsági rést jelenthetnek.
Az OWASP a 2025-ös kiadáshoz már mintegy 589 CWE (Common Weakness Enumeration)-t vizsgált — jóval többet, mint az előző ciklusokban — és most már nem csak a gyakoriságot, hanem az alkalmazásoknál előforduló legalább egy hiba arányát is figyelembe veszi. Ez feltárja, hogy a kockázatok sokkal szélesebb spektrumot fednek le, és az új kategóriák is ennek megfelelően születtek.
Az OWASP Top 10 listája a webalkalmazások legkritikusabb biztonsági problémáit sorolja fel, és segíti a fejlesztőket, üzemeltetőket abban, hogy felkészüljenek ezek elhárítására. A frissítés során hangsúlyozzák, hogy a biztonsági kockázatok kezelése nemcsak technikai, hanem szervezeti és folyamatbeli változtatásokon is keresztül valósulhat meg hatékonyan. A két új kategória bevezetésével az OWASP jelezni kívánja, hogy a kiberbiztonság dinamikus terület, ahol a fenyegetések folyamatosan változnak, és a védelmi stratégiáknak is követnie kell ezeket a változásokat
