2017OWASP TOP10大安全風險首個候選版本徵求意見

E安全4月13日訊 開放式Web應用程式安全專案（OWASP）是一個專注于討論應用程式，代碼開發的威脅討論的組織，它提供有關電腦和互聯網應用程式的公正、實際、有成本效益的資訊，以協助個人、企業和機構來發現和使用可信賴軟體。

OWASP Top10項目成員包括全球的安全專家，其目標是通過找出企業組織所面臨的最嚴重的十大風險來提高人們對應用程式安全的關注。因此OWASP Top 10代表了對最關鍵Web應用安全性漏洞的廣泛共識。

OWASP專案組敦促所有企業在組織機構內部參考OWASP Top10專案的內容，並確保Web應用不包含這些漏洞。採用OWASP Top 10也許能幫助企業向營造開發安全代碼文化邁出最具成效的第一步。

TOP10中羅列的是十大最有可能發生的應用漏洞，而不是具體某一種攻擊行為，是國際非常權威的關於web應用安全的統計參考資料，瞭解它們可以説明企業更好地去規避Web應用安全風險。

OWASP發佈了“2017 OWASP Top 10”的首個候選版本，其新穎之處在於出現了兩個新分類：

一、攻擊檢測和預防不足

二、API無保護

相比2013年的10大安全風險，2017年發生了一些變化，如圖：

對於新分類，OWASP指出：

攻擊保護不足：絕大多數應用程式和API缺乏檢測、防護和回應手段以及自動化攻擊的基本能力。攻擊保護遠遠超出了基本的輸入驗證，還涉及到自動檢測、記錄日誌、回應、甚至阻止利用企圖。應用程式的開發者還需要快速部署補丁，以防範攻擊。

API無保護：現代應用程式通常包含用戶端應用程式和API，

例如流覽器和移動應用（連接到某類API，如SOAP/XML、REST/JSON、RPC、GWT等）中的JavaScript。這些API通常不受保護，且包含眾多漏洞。

截至6月30日，安全專家、開發人員和使用者可以通過電子郵件將2017 OWASP Top 10評論提交至：

OWASP-TopTen@lists.owasp.org（公開）；

dave.wichers@owasp.org（私人）。

預計，2017 OWASP Top 10最終版本將于明年夏天發佈。