OWASP 2025 年十大漏洞:软件供应链故障
随着备受期待的2025 年 OWASP 十大威胁的到来,企业需要格外警惕一些新的威胁,其中包括一个潜伏在榜首附近的威胁。软件供应链故障作为一个新类别首次出现,但并非完全陌生,它在开放式网络应用安全项目四年一度的网络应用安全最严重风险排行榜上位列第三。如果企业还没有认真对待这一风险,那么它们就必须认真对待。
软件供应链故障是由 2021 年上一期榜单中的一个类别 "易受攻击和过时的组件"发展而来的,现在它包括了由依赖关系、构建系统和分发基础设施组成的软件生态系统中更广泛的危害。考虑到备受瞩目的供应链攻击(如 2019 年的SolarWinds攻击、今年早些时候的Bybit 黑客攻击以及正在进行的Shai-Hulud 活动)所造成的破坏,它出现在这份榜单上也就不足为奇了。
OWASP 十佳排行榜通常保持一致,这与每四年发布一次的榜单相符,尽管中间会有更新。例如,长期占据榜单的 "注入 "从第 3 位下降到第 5 位,"不安全设计 "下降了两位,排在第 6 位,而 "安全配置错误 "则从第 5 位跃升到第 2 位。访问控制失灵继续稳居榜首。2025 年版有两个新条目,即前面提到的软件供应链故障和异常情况处理不当,后者位列第 10 位。在此,我们将仔细分析新的供应链漏洞条目。
漏洞几乎无处不在
软件供应链失效是榜单中一个有些不同寻常的类别,在 10 个条目中,它在 OWASP 的研究数据中出现的次数最少,但它也是该类别中 5 个常见弱点枚举(CWE)所产生的平均漏洞利用和影响得分最高的类别。OWASP 表示,它怀疑该类别的有限存在是由于目前在测试方面面临的挑战,而这些挑战最终可能会得到改善。无论如何,绝大多数调查对象都将软件供应链故障列为首要关注的问题。
大多数供应链漏洞都源于业务的相互关联性,涉及上下游合作伙伴和第三方。每一次互动都涉及软件,而软件的组件(又称依赖项或库)可能不受保护。如果企业没有跟踪其自身组件(客户端、服务器端或嵌套)的所有版本,以及确保它们不存在漏洞、不受支持或过时的传递依赖(来自其他库),那么企业就可能存在漏洞。组件通常拥有与应用程序相同的权限,因此受到攻击的组件(包括来自第三方或开源软件库的组件)可能会产生深远的影响。及时打补丁和更新至关重要--即使是每月或每季度定期打补丁,也会使企业暴露数天或数月。
同样,如果不跟踪集成开发环境(IDE)或代码库、映像库和库库或供应链其他部分的变更,供应链缺乏变更管理流程也会造成漏洞。企业需要通过应用访问控制和最小权限策略来加固供应链,确保没有人可以在没有监督的情况下创建代码并将其部署到生产中,也确保没有人可以从不受信任的来源下载组件。
供应链攻击有多种形式。臭名昭著的 SolarWinds 攻击始于俄罗斯攻击者在该公司流行的网络管理软件更新中注入恶意软件。这次攻击影响了约 18,000 家客户。虽然实际受影响的企业数量接近 100 家,但其中包括大型企业和政府机构。价值 15 亿美元的 Bybit 黑客事件被追查到朝鲜,涉及加密货币应用程序被入侵。最近的Glass Worm供应链攻击涉及一种隐形的、可自我复制的代码,它感染了 Open VSX Marketplace。
防止供应链漏洞
由于供应链攻击涉及各系统之间的相互依存关系,因此防御攻击需要采取全方位的方法。OWASP 提供了预防攻击的技巧,包括制定补丁管理流程,以便: 1:
- 了解所有软件的软件物料清单 (SBOM),并集中管理 SBOM。最好在构建过程中而不是之后使用 SPDX 或 CycloneDX 等标准格式生成 SBOM,并在每次发布时至少发布一个机器可读的 SBOM。
- 跟踪所有依赖关系,包括传递依赖关系,删除未使用的依赖关系,以及不必要的功能、组件、文件和文档。
- 使用OWASP Dependency Check或retire.js 等工具,持续清查客户端和服务器端组件及其依赖关系。
- 持续监控 "常见漏洞和暴露"(Common Vulnerabilities and Exposures,CVE)网站和 "国家漏洞数据库"(National Vulnerability Database,NVD)等来源,并订阅与您使用的组件相关的安全漏洞电子邮件提醒。
- 只使用通过安全链接从可信来源获取的组件。例如,值得信赖的供应商会愿意与研究人员合作,披露研究人员在组件中发现的 CVE。
- 有意识地选择要使用的依赖版本,只在需要时才升级。使用已在 NVD 等知名来源发布漏洞的第三方库。
- 监控未维护或不支持的库和组件。如果无法打补丁,可考虑部署虚拟补丁,以监控、检测或防范已发现的问题。
- 定期更新开发人员工具。
- 将 CI/CD 管道中的组件视为此流程的一部分,对其进行加固和监控,同时记录更改。
变更管理或跟踪流程还应适用于 CI/CD 设置、代码库、沙箱、集成开发人员环境 (IDE)、SBOM 工具、创建的工件、日志系统和日志、第三方集成(如 SaaS)、工件库和容器注册表。您还需要加固系统,从开发人员工作站到 CI/CD 管道。还要确保启用多因素身份验证,同时执行强大的身份和访问管理策略。
面对高度互联的世界,防范软件供应链故障是一项多方面的持续性工作。企业必须在应用程序和组件的整个生命周期内采取强有力的防御措施,以抵御这种快速发展的现代威胁。
SCW Trust Score™ 用户须知 :
随着我们更新Learning Platform 内容,使其与 OWASP Top 10 2025 标准保持一致,您可能会发现全栈开发人员的信任分数会有细微调整。如果您有任何疑问或需要支持,请联系您的客户成功代表。
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
预定一个演示
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
本文由Secure Code Warrior的行业专家团队致力于让开发人员从一开始就具备构建安全软件的知识和技能。凭借在安全编码实践、行业趋势和现实世界见解方面的深厚专业知识。
随着备受期待的2025 年 OWASP 十大威胁的到来,企业需要格外警惕一些新的威胁,其中包括一个潜伏在榜首附近的威胁。软件供应链故障作为一个新类别首次出现,但并非完全陌生,它在开放式网络应用安全项目四年一度的网络应用安全最严重风险排行榜上位列第三。如果企业还没有认真对待这一风险,那么它们就必须认真对待。
软件供应链故障是由 2021 年上一期榜单中的一个类别 "易受攻击和过时的组件"发展而来的,现在它包括了由依赖关系、构建系统和分发基础设施组成的软件生态系统中更广泛的危害。考虑到备受瞩目的供应链攻击(如 2019 年的SolarWinds攻击、今年早些时候的Bybit 黑客攻击以及正在进行的Shai-Hulud 活动)所造成的破坏,它出现在这份榜单上也就不足为奇了。
OWASP 十佳排行榜通常保持一致,这与每四年发布一次的榜单相符,尽管中间会有更新。例如,长期占据榜单的 "注入 "从第 3 位下降到第 5 位,"不安全设计 "下降了两位,排在第 6 位,而 "安全配置错误 "则从第 5 位跃升到第 2 位。访问控制失灵继续稳居榜首。2025 年版有两个新条目,即前面提到的软件供应链故障和异常情况处理不当,后者位列第 10 位。在此,我们将仔细分析新的供应链漏洞条目。
漏洞几乎无处不在
软件供应链失效是榜单中一个有些不同寻常的类别,在 10 个条目中,它在 OWASP 的研究数据中出现的次数最少,但它也是该类别中 5 个常见弱点枚举(CWE)所产生的平均漏洞利用和影响得分最高的类别。OWASP 表示,它怀疑该类别的有限存在是由于目前在测试方面面临的挑战,而这些挑战最终可能会得到改善。无论如何,绝大多数调查对象都将软件供应链故障列为首要关注的问题。
大多数供应链漏洞都源于业务的相互关联性,涉及上下游合作伙伴和第三方。每一次互动都涉及软件,而软件的组件(又称依赖项或库)可能不受保护。如果企业没有跟踪其自身组件(客户端、服务器端或嵌套)的所有版本,以及确保它们不存在漏洞、不受支持或过时的传递依赖(来自其他库),那么企业就可能存在漏洞。组件通常拥有与应用程序相同的权限,因此受到攻击的组件(包括来自第三方或开源软件库的组件)可能会产生深远的影响。及时打补丁和更新至关重要--即使是每月或每季度定期打补丁,也会使企业暴露数天或数月。
同样,如果不跟踪集成开发环境(IDE)或代码库、映像库和库库或供应链其他部分的变更,供应链缺乏变更管理流程也会造成漏洞。企业需要通过应用访问控制和最小权限策略来加固供应链,确保没有人可以在没有监督的情况下创建代码并将其部署到生产中,也确保没有人可以从不受信任的来源下载组件。
供应链攻击有多种形式。臭名昭著的 SolarWinds 攻击始于俄罗斯攻击者在该公司流行的网络管理软件更新中注入恶意软件。这次攻击影响了约 18,000 家客户。虽然实际受影响的企业数量接近 100 家,但其中包括大型企业和政府机构。价值 15 亿美元的 Bybit 黑客事件被追查到朝鲜,涉及加密货币应用程序被入侵。最近的Glass Worm供应链攻击涉及一种隐形的、可自我复制的代码,它感染了 Open VSX Marketplace。
防止供应链漏洞
由于供应链攻击涉及各系统之间的相互依存关系,因此防御攻击需要采取全方位的方法。OWASP 提供了预防攻击的技巧,包括制定补丁管理流程,以便: 1:
- 了解所有软件的软件物料清单 (SBOM),并集中管理 SBOM。最好在构建过程中而不是之后使用 SPDX 或 CycloneDX 等标准格式生成 SBOM,并在每次发布时至少发布一个机器可读的 SBOM。
- 跟踪所有依赖关系,包括传递依赖关系,删除未使用的依赖关系,以及不必要的功能、组件、文件和文档。
- 使用OWASP Dependency Check或retire.js 等工具,持续清查客户端和服务器端组件及其依赖关系。
- 持续监控 "常见漏洞和暴露"(Common Vulnerabilities and Exposures,CVE)网站和 "国家漏洞数据库"(National Vulnerability Database,NVD)等来源,并订阅与您使用的组件相关的安全漏洞电子邮件提醒。
- 只使用通过安全链接从可信来源获取的组件。例如,值得信赖的供应商会愿意与研究人员合作,披露研究人员在组件中发现的 CVE。
- 有意识地选择要使用的依赖版本,只在需要时才升级。使用已在 NVD 等知名来源发布漏洞的第三方库。
- 监控未维护或不支持的库和组件。如果无法打补丁,可考虑部署虚拟补丁,以监控、检测或防范已发现的问题。
- 定期更新开发人员工具。
- 将 CI/CD 管道中的组件视为此流程的一部分,对其进行加固和监控,同时记录更改。
变更管理或跟踪流程还应适用于 CI/CD 设置、代码库、沙箱、集成开发人员环境 (IDE)、SBOM 工具、创建的工件、日志系统和日志、第三方集成(如 SaaS)、工件库和容器注册表。您还需要加固系统,从开发人员工作站到 CI/CD 管道。还要确保启用多因素身份验证,同时执行强大的身份和访问管理策略。
面对高度互联的世界,防范软件供应链故障是一项多方面的持续性工作。企业必须在应用程序和组件的整个生命周期内采取强有力的防御措施,以抵御这种快速发展的现代威胁。
SCW Trust Score™ 用户须知 :
随着我们更新Learning Platform 内容,使其与 OWASP Top 10 2025 标准保持一致,您可能会发现全栈开发人员的信任分数会有细微调整。如果您有任何疑问或需要支持,请联系您的客户成功代表。
随着备受期待的2025 年 OWASP 十大威胁的到来,企业需要格外警惕一些新的威胁,其中包括一个潜伏在榜首附近的威胁。软件供应链故障作为一个新类别首次出现,但并非完全陌生,它在开放式网络应用安全项目四年一度的网络应用安全最严重风险排行榜上位列第三。如果企业还没有认真对待这一风险,那么它们就必须认真对待。
软件供应链故障是由 2021 年上一期榜单中的一个类别 "易受攻击和过时的组件"发展而来的,现在它包括了由依赖关系、构建系统和分发基础设施组成的软件生态系统中更广泛的危害。考虑到备受瞩目的供应链攻击(如 2019 年的SolarWinds攻击、今年早些时候的Bybit 黑客攻击以及正在进行的Shai-Hulud 活动)所造成的破坏,它出现在这份榜单上也就不足为奇了。
OWASP 十佳排行榜通常保持一致,这与每四年发布一次的榜单相符,尽管中间会有更新。例如,长期占据榜单的 "注入 "从第 3 位下降到第 5 位,"不安全设计 "下降了两位,排在第 6 位,而 "安全配置错误 "则从第 5 位跃升到第 2 位。访问控制失灵继续稳居榜首。2025 年版有两个新条目,即前面提到的软件供应链故障和异常情况处理不当,后者位列第 10 位。在此,我们将仔细分析新的供应链漏洞条目。
漏洞几乎无处不在
软件供应链失效是榜单中一个有些不同寻常的类别,在 10 个条目中,它在 OWASP 的研究数据中出现的次数最少,但它也是该类别中 5 个常见弱点枚举(CWE)所产生的平均漏洞利用和影响得分最高的类别。OWASP 表示,它怀疑该类别的有限存在是由于目前在测试方面面临的挑战,而这些挑战最终可能会得到改善。无论如何,绝大多数调查对象都将软件供应链故障列为首要关注的问题。
大多数供应链漏洞都源于业务的相互关联性,涉及上下游合作伙伴和第三方。每一次互动都涉及软件,而软件的组件(又称依赖项或库)可能不受保护。如果企业没有跟踪其自身组件(客户端、服务器端或嵌套)的所有版本,以及确保它们不存在漏洞、不受支持或过时的传递依赖(来自其他库),那么企业就可能存在漏洞。组件通常拥有与应用程序相同的权限,因此受到攻击的组件(包括来自第三方或开源软件库的组件)可能会产生深远的影响。及时打补丁和更新至关重要--即使是每月或每季度定期打补丁,也会使企业暴露数天或数月。
同样,如果不跟踪集成开发环境(IDE)或代码库、映像库和库库或供应链其他部分的变更,供应链缺乏变更管理流程也会造成漏洞。企业需要通过应用访问控制和最小权限策略来加固供应链,确保没有人可以在没有监督的情况下创建代码并将其部署到生产中,也确保没有人可以从不受信任的来源下载组件。
供应链攻击有多种形式。臭名昭著的 SolarWinds 攻击始于俄罗斯攻击者在该公司流行的网络管理软件更新中注入恶意软件。这次攻击影响了约 18,000 家客户。虽然实际受影响的企业数量接近 100 家,但其中包括大型企业和政府机构。价值 15 亿美元的 Bybit 黑客事件被追查到朝鲜,涉及加密货币应用程序被入侵。最近的Glass Worm供应链攻击涉及一种隐形的、可自我复制的代码,它感染了 Open VSX Marketplace。
防止供应链漏洞
由于供应链攻击涉及各系统之间的相互依存关系,因此防御攻击需要采取全方位的方法。OWASP 提供了预防攻击的技巧,包括制定补丁管理流程,以便: 1:
- 了解所有软件的软件物料清单 (SBOM),并集中管理 SBOM。最好在构建过程中而不是之后使用 SPDX 或 CycloneDX 等标准格式生成 SBOM,并在每次发布时至少发布一个机器可读的 SBOM。
- 跟踪所有依赖关系,包括传递依赖关系,删除未使用的依赖关系,以及不必要的功能、组件、文件和文档。
- 使用OWASP Dependency Check或retire.js 等工具,持续清查客户端和服务器端组件及其依赖关系。
- 持续监控 "常见漏洞和暴露"(Common Vulnerabilities and Exposures,CVE)网站和 "国家漏洞数据库"(National Vulnerability Database,NVD)等来源,并订阅与您使用的组件相关的安全漏洞电子邮件提醒。
- 只使用通过安全链接从可信来源获取的组件。例如,值得信赖的供应商会愿意与研究人员合作,披露研究人员在组件中发现的 CVE。
- 有意识地选择要使用的依赖版本,只在需要时才升级。使用已在 NVD 等知名来源发布漏洞的第三方库。
- 监控未维护或不支持的库和组件。如果无法打补丁,可考虑部署虚拟补丁,以监控、检测或防范已发现的问题。
- 定期更新开发人员工具。
- 将 CI/CD 管道中的组件视为此流程的一部分,对其进行加固和监控,同时记录更改。
变更管理或跟踪流程还应适用于 CI/CD 设置、代码库、沙箱、集成开发人员环境 (IDE)、SBOM 工具、创建的工件、日志系统和日志、第三方集成(如 SaaS)、工件库和容器注册表。您还需要加固系统,从开发人员工作站到 CI/CD 管道。还要确保启用多因素身份验证,同时执行强大的身份和访问管理策略。
面对高度互联的世界,防范软件供应链故障是一项多方面的持续性工作。企业必须在应用程序和组件的整个生命周期内采取强有力的防御措施,以抵御这种快速发展的现代威胁。
SCW Trust Score™ 用户须知 :
随着我们更新Learning Platform 内容,使其与 OWASP Top 10 2025 标准保持一致,您可能会发现全栈开发人员的信任分数会有细微调整。如果您有任何疑问或需要支持,请联系您的客户成功代表。
点击下面的链接,下载本资料的 PDF 文件。
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
查看报告预定一个演示
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
本文由Secure Code Warrior的行业专家团队致力于让开发人员从一开始就具备构建安全软件的知识和技能。凭借在安全编码实践、行业趋势和现实世界见解方面的深厚专业知识。
随着备受期待的2025 年 OWASP 十大威胁的到来,企业需要格外警惕一些新的威胁,其中包括一个潜伏在榜首附近的威胁。软件供应链故障作为一个新类别首次出现,但并非完全陌生,它在开放式网络应用安全项目四年一度的网络应用安全最严重风险排行榜上位列第三。如果企业还没有认真对待这一风险,那么它们就必须认真对待。
软件供应链故障是由 2021 年上一期榜单中的一个类别 "易受攻击和过时的组件"发展而来的,现在它包括了由依赖关系、构建系统和分发基础设施组成的软件生态系统中更广泛的危害。考虑到备受瞩目的供应链攻击(如 2019 年的SolarWinds攻击、今年早些时候的Bybit 黑客攻击以及正在进行的Shai-Hulud 活动)所造成的破坏,它出现在这份榜单上也就不足为奇了。
OWASP 十佳排行榜通常保持一致,这与每四年发布一次的榜单相符,尽管中间会有更新。例如,长期占据榜单的 "注入 "从第 3 位下降到第 5 位,"不安全设计 "下降了两位,排在第 6 位,而 "安全配置错误 "则从第 5 位跃升到第 2 位。访问控制失灵继续稳居榜首。2025 年版有两个新条目,即前面提到的软件供应链故障和异常情况处理不当,后者位列第 10 位。在此,我们将仔细分析新的供应链漏洞条目。
漏洞几乎无处不在
软件供应链失效是榜单中一个有些不同寻常的类别,在 10 个条目中,它在 OWASP 的研究数据中出现的次数最少,但它也是该类别中 5 个常见弱点枚举(CWE)所产生的平均漏洞利用和影响得分最高的类别。OWASP 表示,它怀疑该类别的有限存在是由于目前在测试方面面临的挑战,而这些挑战最终可能会得到改善。无论如何,绝大多数调查对象都将软件供应链故障列为首要关注的问题。
大多数供应链漏洞都源于业务的相互关联性,涉及上下游合作伙伴和第三方。每一次互动都涉及软件,而软件的组件(又称依赖项或库)可能不受保护。如果企业没有跟踪其自身组件(客户端、服务器端或嵌套)的所有版本,以及确保它们不存在漏洞、不受支持或过时的传递依赖(来自其他库),那么企业就可能存在漏洞。组件通常拥有与应用程序相同的权限,因此受到攻击的组件(包括来自第三方或开源软件库的组件)可能会产生深远的影响。及时打补丁和更新至关重要--即使是每月或每季度定期打补丁,也会使企业暴露数天或数月。
同样,如果不跟踪集成开发环境(IDE)或代码库、映像库和库库或供应链其他部分的变更,供应链缺乏变更管理流程也会造成漏洞。企业需要通过应用访问控制和最小权限策略来加固供应链,确保没有人可以在没有监督的情况下创建代码并将其部署到生产中,也确保没有人可以从不受信任的来源下载组件。
供应链攻击有多种形式。臭名昭著的 SolarWinds 攻击始于俄罗斯攻击者在该公司流行的网络管理软件更新中注入恶意软件。这次攻击影响了约 18,000 家客户。虽然实际受影响的企业数量接近 100 家,但其中包括大型企业和政府机构。价值 15 亿美元的 Bybit 黑客事件被追查到朝鲜,涉及加密货币应用程序被入侵。最近的Glass Worm供应链攻击涉及一种隐形的、可自我复制的代码,它感染了 Open VSX Marketplace。
防止供应链漏洞
由于供应链攻击涉及各系统之间的相互依存关系,因此防御攻击需要采取全方位的方法。OWASP 提供了预防攻击的技巧,包括制定补丁管理流程,以便: 1:
- 了解所有软件的软件物料清单 (SBOM),并集中管理 SBOM。最好在构建过程中而不是之后使用 SPDX 或 CycloneDX 等标准格式生成 SBOM,并在每次发布时至少发布一个机器可读的 SBOM。
- 跟踪所有依赖关系,包括传递依赖关系,删除未使用的依赖关系,以及不必要的功能、组件、文件和文档。
- 使用OWASP Dependency Check或retire.js 等工具,持续清查客户端和服务器端组件及其依赖关系。
- 持续监控 "常见漏洞和暴露"(Common Vulnerabilities and Exposures,CVE)网站和 "国家漏洞数据库"(National Vulnerability Database,NVD)等来源,并订阅与您使用的组件相关的安全漏洞电子邮件提醒。
- 只使用通过安全链接从可信来源获取的组件。例如,值得信赖的供应商会愿意与研究人员合作,披露研究人员在组件中发现的 CVE。
- 有意识地选择要使用的依赖版本,只在需要时才升级。使用已在 NVD 等知名来源发布漏洞的第三方库。
- 监控未维护或不支持的库和组件。如果无法打补丁,可考虑部署虚拟补丁,以监控、检测或防范已发现的问题。
- 定期更新开发人员工具。
- 将 CI/CD 管道中的组件视为此流程的一部分,对其进行加固和监控,同时记录更改。
变更管理或跟踪流程还应适用于 CI/CD 设置、代码库、沙箱、集成开发人员环境 (IDE)、SBOM 工具、创建的工件、日志系统和日志、第三方集成(如 SaaS)、工件库和容器注册表。您还需要加固系统,从开发人员工作站到 CI/CD 管道。还要确保启用多因素身份验证,同时执行强大的身份和访问管理策略。
面对高度互联的世界,防范软件供应链故障是一项多方面的持续性工作。企业必须在应用程序和组件的整个生命周期内采取强有力的防御措施,以抵御这种快速发展的现代威胁。
SCW Trust Score™ 用户须知 :
随着我们更新Learning Platform 内容,使其与 OWASP Top 10 2025 标准保持一致,您可能会发现全栈开发人员的信任分数会有细微调整。如果您有任何疑问或需要支持,请联系您的客户成功代表。
.png)
.png)
.png)
