Open Web Application Security Project (OWASP) официально опубликовала восьмую редакцию своего влиятельного списка Top 10 рисков безопасности веб-приложений на 2025 год. Данное обновление демонстрирует серьёзные изменения, соответствующие быстро развивающемуся ландшафту угроз для приложений. Эксперты отмечают, что пересмотренный документ теперь включает две принципиально новые категории, а также существенные корректировки в ранжировании существующих угроз. Эти изменения основаны на анализе обширных данных и обратной связи от мирового сообщества специалистов по кибербезопасности.
Важнейшим нововведением стала категория Software Supply Chain Failures (сбои в цепочке поставок программного обеспечения), занявшая позицию A03. Она пришла на смену предыдущему пункту «Уязвимые и устаревшие компоненты», расширив фокус на компрометации всей экосистемы зависимостей ПО, систем сборки и инфраструктуры дистрибуции. Данное дополнение напрямую отражает растущую озабоченность атаками на цепочки поставок, которые доминировали в новостях о безопасности в последние годы. Например, инциденты с солнечными штормами и компрометацией инструментов разработки подчеркнули критическую важность этого вектора.
Второй новой категорией является Mishandling of Exceptional Conditions (неправильная обработка исключительных условий), размещённая на позиции A10. Она объединяет 24 пункта CWE (Common Weakness Enumerations, перечисление общих уязвимостей), акцентируя внимание на некорректной обработке ошибок, логических сбоях и опасной практике перехода систем в открытое состояние при аномальных условиях. Следовательно, разработчикам следует уделять больше внимания тестированию поведения приложений в нештатных ситуациях.
При этом Broken Access Control (нарушения контроля доступа) сохранил лидирующую позицию A01. Статистика показывает, что 3.73% протестированных приложений содержали как минимум одну из 40 уязвимостей CWE в этой категории. Одновременно Security Misconfiguration (небезопасные настройки) совершил впечатляющий скачок с пятого места в 2021 году на вторую позицию в 2025, затрагивая 3.00% приложений через 16 CWE. Такой рост подчёркивает, что ошибки конфигурации остаются массовой проблемой несмотря на всю осведомлённость.
Напротив, ранее высокоранжируемые угрозы снизили свои позиции. Cryptographic Failures (криптографические сбои) опустились со второго на четвёртое место, а Injection (инъекции) сместились с третьего на пятое место. Insecure Design (небезопасный дизайн) переместился с четвёртой на шестую позицию. Тем не менее, эти категории по-прежнему представляют существенные риски. Более того, общее число анализируемых CWE выросло до 589 по сравнению с примерно 400 в предыдущей версии, что указывает на углубление анализа.
Методология формирования OWASP Top 10 2025 сочетает данные тестирования и мнение сообщества. Восемь категорий основаны на статистике, а две определены голосованием специалистов для охвата возникающие угрозы, которые пока слабо выявляются инструментами. Проект проанализировал около 175,000 записей CVE (Common Vulnerabilities and Exposures, общие уязвимости и воздействия), сопоставленных с CWE из Национальной базы данных уязвимостей. При этом использовались оценки CVSS (Common Vulnerability Scoring System, система оценки общих уязвимостей) для определения тяжести рисков.
Такой комплексный подход гарантирует, что список отражает как хорошо известные угрозы, выявляемые при тестировании, так и новые риски, идентифицированные практиками. Очевидно, что обновлённый OWASP Top 10 2025 является важным информационным документом для разработчиков, команд безопасности и организаций по всему миру.. Усиление акцента на безопасности цепочек поставок и корректной обработке ошибок адресует современные векторы атак. Параллельно приводятся фокусы на постоянные угрозы, таких как сбои контроля доступа и ошибочные конфигурации, продолжающие поражать приложения. В результате данный релиз задаёт новые приоритеты для инвестиций в безопасность на ближайшие годы.
