novembro 07, 2025

[Segurança] OWASP Top 10 2025

A OWASP  (Open Web Application Security Project) lançou ontem, 06 de novembro, a versão "Release Candidate" da nova edição do seu principal guia, o OWASP Top 10.


OWASP Top 10 é a principal referência mundial sobre segurança em aplicações web! Ele foi criado em 2023 e a última versão corrente, de 2021, é a sua sétima versão.

O Top 10 foi criado para promover a conscientização para desenvolvedores sobre a segurança de aplicações web. Ele representa um amplo consenso da indústria sobre os riscos de segurança mais críticos para aplicações web, com orientações de como evitá-los.

Na versão 2025, a OWASP identificou as 10 principais categorias abaixo de riscos mais comuns no desenvolvimento de aplicações web:
  • A01:2025 - Broken Access Control
  • A02:2025 - Security Misconfiguration
  • A03:2025 - Software Supply Chain Failures
  • A04:2025 - Cryptographic Failures
  • A05:2025 - Injection
  • A06:2025 - Insecure Design
  • A07:2025 - Authentication Failures
  • A08:2025 - Software or Data Integrity Failures
  • A09:2025 - Logging & Alerting Failures
  • A10:2025 - Mishandling of Exceptional Conditions
Comparado com a edição anterior, de 2021, foram criadas duas novas categorias, houve uma consolidação  e algumas categorias tiveram apenas ajuste de nomenclatura. As novas categorias, incluídas no Top Ten:2025, foram a de "Software Supply Chain Failures" ("Falhas na Cadeia de Suprimentos de Software") (A03:2025) e "Mishandling of Exceptional Conditions" ("Tratamento Incorreto de Condições Excepcionais") (A10:2025) Segundo a OWASP, a categoria ""Software Supply Chain Failures" foi, de forma esmagadora, considerada uma das principais preocupações na pesquisa realizada com a comunidade.


O diagrama acima é um clássico, rs, ele sempre é feito para comparar as novas versões do Top 10 com a anterior.

A categoria  "Broken Access Control" ("Quebra de Controle de Acesso") (A01:2025) manteve-se como primeiro no ranking, considerado o risco de segurança de aplicativos mais grave. Os dados da OWASP indicam que, em média, 3,73% dos aplicativos testados apresentavam uma ou mais das 40 Fraquezas Comuns Enumeradas (CWEs) nesta categoria.

A versão OWASP Top 10:2025 RC1 está disponível no site da OWASP para comentários públicos, que podem ser enviados até 20 de novembro de 2025. Geralmente nessa fase são realizadas poucas mudanças da "Release Candidate" para a versão final - normalmente são feitos apenas ajustes no texto e na formatação do documento. Ou seja, é praticamente certo que os 10 riscos do OWASP Top 10:2025 já estão valendo, embora ainda não seja a versão oficial!

Para saber mais:

Postado por em
Marcadores: ,

Nenhum comentário:

Postar um comentário

Assinar: Postar comentários (Atom)
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.