OWASP Top 10 2025 traz novas categorias

O OWASP divulgou uma versão revisada de sua tradicional lista Top 10 dos riscos mais críticos para aplicações web, trazendo duas novas categorias e alterações na ordem dos riscos. Esta versão candidate de 2025 está aberta para comentários até 20 de novembro.

Principais mudanças no OWASP Top 10 2025

Broken Access Control permanece como o risco principal, agora absorvendo o SSRF (Server-Side Request Forgery), que antes era listado separadamente.
Security Misconfiguration subiu para a segunda posição, refletindo a crescente preocupação com erros de configuração, ultrapassando falhas tradicionais de autenticação e criptografia.
Software Supply Chain Failures foi incluída como categoria expandida, substituindo “Vulnerable and Outdated Components”. Agora engloba riscos em toda a cadeia de dependências, sistemas de build e distribuição de software, destacando a relevância dos ataques à cadeia de suprimentos.
Mishandling of Exceptional Conditions é uma das novas categorias, ocupando o décimo lugar. Abrange falhas relacionadas a tratamento incorreto de condições excepcionais, como fail open, erros lógicos e manipulação inadequada de falhas.

Reordenação de categorias clássicas

Categorias como Cryptographic Failures, Injection (XSS e SQLi) e Insecure Design caíram duas posições, mostrando que as ameaças evoluem de acordo com o cenário e as percepções da comunidade de segurança.

Metodologia revisada

Nesta edição, o OWASP utilizou dados de 589 CWEs, ampliando a análise em relação às edições anteriores. Foram consideradas somente instâncias por aplicação, e não a frequência dos CWEs, para entender melhor a prevalência dos riscos.

O grupo também considerou dados de CVEs para calcular impactabilidade e explotabilidade técnicas, usando escores médios de CVSS em relação aos CWEs. Das dez categorias, oito vieram da análise de dados e duas da votação dos profissionais na pesquisa Top 10 Community Survey.

Importância para equipes de desenvolvimento

O OWASP Top 10 é referência global e a inclusão dessas novas categorias reforça a necessidade de lidar não apenas com falhas explícitas, mas também com riscos sistêmicos e operacionais cada vez mais explorados em ambientes modernos de desenvolvimento.

Fonte: CISO ADVISOR

OWASP Top 10 2025 traz novas categorias

Principais mudanças no OWASP Top 10 2025

Reordenação de categorias clássicas

Metodologia revisada

Importância para equipes de desenvolvimento

Caitlin Kalinowski, líder da área de robótica da OpenAI, renuncia ao cargo em resposta a um acordo com o Pentágono

Claude, da Anthropic, descobriu 22 vulnerabilidades no Firefox em duas semanas.

Brasil estuda linhão de R$ 17 bilhões para evitar desperdício de energia eólica e solar

Caitlin Kalinowski, líder da área de robótica da OpenAI, renuncia ao cargo em resposta a um acordo com o Pentágono

Brasil estuda linhão de R$ 17 bilhões para evitar desperdício de energia eólica e solar

Farol Digital coloca João Pessoa entre os três principais ecossistemas de inovação do Brasil

Hardware ganha protagonismo além do universo gamer

Últimas Noticias

Instituto Atlântico apresenta tecnologias de Indústria 4.0 em estande na Feira da Indústria da FIEC

Caitlin Kalinowski, líder da área de robótica da OpenAI, renuncia ao cargo em resposta a um acordo com o Pentágono

Claude, da Anthropic, descobriu 22 vulnerabilidades no Firefox em duas semanas.

OWASP Top 10 2025 traz novas categorias

Principais mudanças no OWASP Top 10 2025

Reordenação de categorias clássicas

Metodologia revisada

Importância para equipes de desenvolvimento

Notícias relacionadas