OWASP 2025年十大安全风险:软件供应链漏洞
随着万众期待的OWASP 2025十大安全风险榜单发布,企业需特别警惕一系列新型威胁,其中潜伏在榜首的威胁尤为值得关注。软件供应链漏洞作为新增类别登场,但并非全新威胁,在开放网络应用安全项目(OWASP)四年期网络应用程序最严重安全风险榜单中位列第三。企业必须对此风险高度重视——若尚未如此。
软件供应链中的漏洞源自2021年清单中的一个类别。脆弱且过时的组件,如今已扩展为整个软件生态系统中更广泛的风险范畴,涵盖依赖项、构建系统及分发基础设施。 鉴于高调的供应链攻击造成的破坏——如2019年的SolarWinds事件、今年早些时候的Bybit黑客攻击,以及正在进行的Shai-Hulud攻击活动——该问题出现在清单中并不令人意外。 ——这种恶意自我复制的npm蠕虫正肆虐暴露的开发环境。
OWASP十大安全威胁榜单总体保持稳定,这符合每四年发布一次的惯例,期间会进行更新。榜单内部通常存在一定变动——例如长期位居榜单的注入攻击从第3位降至第5位,不安全设计下滑两位至第6位,而安全配置错误则从第5位跃升至第2位。 "访问控制失效"仍稳居榜首。2025年版新增两项:前文提及的"软件供应链漏洞"与"异常处理不当",后者位列第十。本文将重点剖析新增的供应链安全漏洞条目。
安全漏洞几乎无处不在
软件供应链漏洞在该列表中属于较为特殊的类别,因为在十大条目中,其在OWASP研究数据中的出现频率最低,但该类别下五个通用弱点枚举(CWE)所对应的平均利用难度和影响程度却最高。 OWASP认为该类别存在率较低,源于当前测试该类漏洞的挑战,但这一状况未来有望改善。无论如何,压倒性多数的调查参与者都将软件供应链故障列为首要问题。
供应链中的大多数安全漏洞源于业务活动的互联互通,涉及上游、下游合作伙伴及第三方。每次交互都包含软件组件(也称为依赖项或库),这些组件可能存在安全隐患。 若企业未能追踪自身组件(客户端、服务器端或嵌套组件)的所有版本,以及其他库的传递性依赖项,以确保其不存在漏洞、未被弃用或过时,则可能面临风险。 组件通常拥有与应用程序同等的权限,因此受损组件(包括来自第三方或开源库的组件)可能引发广泛影响。及时打补丁和更新至关重要。即使是按月或按季度的常规补丁计划,也可能导致企业面临数日乃至数月的风险暴露期。
同样,若您的供应链中缺乏变更管理流程,当您未能追踪集成开发环境(IDEs)、代码库、映像库、库库或其他供应链环节的变更时,也可能导致安全漏洞。 企业必须通过实施访问控制和最小权限原则来保障供应链安全,确保无人能创建代码并将其无人监管地部署到生产环境,同时禁止从不可信来源下载组件。
供应链攻击可呈现多种形态。臭名昭著的SolarWinds攻击始于俄罗斯黑客将恶意软件植入该公司热门网络管理软件的更新版本,约18,000名客户受到波及。尽管实际受影响的企业仅约100家,但名单中包含大型企业和政府机构。 价值15亿美元的Bybit黑客事件被追溯至朝鲜,其攻击手段是利用被入侵的加密货币应用程序。最近的GlasWurm供应链攻击则涉及一种隐蔽的自我复制代码,该代码感染了Open VSX Marketplace平台。
防止供应链中的漏洞利用
由于供应链攻击涉及系统间的相互依赖性,防御此类攻击需要采取全面策略。OWASP提供了防范攻击的建议,包括建立补丁管理流程以应对:
- 了解您整个软件的软件物料清单(SBOM),并集中管理SBOM。建议在构建过程中(而非后期)使用标准格式(如SPDX或CyclonedX)生成SBOM,并为每个版本至少发布一份机器可读的SBOM。
- 追踪所有依赖项(包括传递性依赖),移除未使用的依赖项以及不必要的功能、组件、文件和文档。
- 持续使用OWASP依赖性 扫描或retire.js等工具,对客户端和服务器端组件及其依赖关系进行清点。
- 及时了解安全漏洞动态,持续监控常见漏洞披露(CVE)网站和国家漏洞数据库(NVD)等信息源,并订阅与您所用组件相关的安全漏洞电子邮件通知。
- 仅从可信来源通过安全链接获取组件。例如,可信供应商会愿意与研究人员合作,共同发布该研究人员在组件中发现的CVE漏洞。
- 请明智地选择要使用的依赖项版本,仅在必要时执行升级。若使用第三方库,请确保其安全漏洞已在NVD等权威来源中公布。
- 请监控是否存在未维护或未受支持的库和组件。若无法进行补丁修复,应考虑部署虚拟补丁以监控、检测或防范已发现的问题。
- 请定期更新开发者工具。
- 在您的持续集成/持续交付(CI/CD)管道中,将组件视为该流程的一部分进行处理,通过强化和监控组件,同时记录变更。
变更管理或追踪流程也应适用于您的持续集成/持续交付(CI/CD)配置、代码仓库、沙盒环境、集成开发环境(IDEs)、SBOM工具、生成的工件、日志系统及日志记录、第三方集成(如SaaS服务)、工件仓库以及容器注册表。 您还需全面保障系统安全——从开发工作站到CI/CD管道。务必启用多因素认证机制,同时严格执行身份与访问管理策略。
在高度互联的世界中,防范软件供应链中断是一项多层次的持续性任务。企业必须在其应用程序和组件的整个生命周期中采取强有力的防御措施,以抵御这种快速演变的现代威胁。
关于SCW Trust Score™用户的提示 :
在我们更新学习平台内容以符合OWASP 2025十大安全风险标准期间,您可能会注意到全栈开发人员的信任评分出现轻微调整。如有疑问或需要协助,请联系您的客户经理。
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
预约演示
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
本文由Secure Code Warrior的行业专家团队致力于让开发人员从一开始就具备构建安全软件的知识和技能。凭借在安全编码实践、行业趋势和现实世界见解方面的深厚专业知识。
随着万众期待的OWASP 2025十大安全风险榜单发布,企业需特别警惕一系列新型威胁,其中潜伏在榜首的威胁尤为值得关注。软件供应链漏洞作为新增类别登场,但并非全新威胁,在开放网络应用安全项目(OWASP)四年期网络应用程序最严重安全风险榜单中位列第三。企业必须对此风险高度重视——若尚未如此。
软件供应链中的漏洞源自2021年清单中的一个类别。脆弱且过时的组件,如今已扩展为整个软件生态系统中更广泛的风险范畴,涵盖依赖项、构建系统及分发基础设施。 鉴于高调的供应链攻击造成的破坏——如2019年的SolarWinds事件、今年早些时候的Bybit黑客攻击,以及正在进行的Shai-Hulud攻击活动——该问题出现在清单中并不令人意外。 ——这种恶意自我复制的npm蠕虫正肆虐暴露的开发环境。
OWASP十大安全威胁榜单总体保持稳定,这符合每四年发布一次的惯例,期间会进行更新。榜单内部通常存在一定变动——例如长期位居榜单的注入攻击从第3位降至第5位,不安全设计下滑两位至第6位,而安全配置错误则从第5位跃升至第2位。 "访问控制失效"仍稳居榜首。2025年版新增两项:前文提及的"软件供应链漏洞"与"异常处理不当",后者位列第十。本文将重点剖析新增的供应链安全漏洞条目。
安全漏洞几乎无处不在
软件供应链漏洞在该列表中属于较为特殊的类别,因为在十大条目中,其在OWASP研究数据中的出现频率最低,但该类别下五个通用弱点枚举(CWE)所对应的平均利用难度和影响程度却最高。 OWASP认为该类别存在率较低,源于当前测试该类漏洞的挑战,但这一状况未来有望改善。无论如何,压倒性多数的调查参与者都将软件供应链故障列为首要问题。
供应链中的大多数安全漏洞源于业务活动的互联互通,涉及上游、下游合作伙伴及第三方。每次交互都包含软件组件(也称为依赖项或库),这些组件可能存在安全隐患。 若企业未能追踪自身组件(客户端、服务器端或嵌套组件)的所有版本,以及其他库的传递性依赖项,以确保其不存在漏洞、未被弃用或过时,则可能面临风险。 组件通常拥有与应用程序同等的权限,因此受损组件(包括来自第三方或开源库的组件)可能引发广泛影响。及时打补丁和更新至关重要。即使是按月或按季度的常规补丁计划,也可能导致企业面临数日乃至数月的风险暴露期。
同样,若您的供应链中缺乏变更管理流程,当您未能追踪集成开发环境(IDEs)、代码库、映像库、库库或其他供应链环节的变更时,也可能导致安全漏洞。 企业必须通过实施访问控制和最小权限原则来保障供应链安全,确保无人能创建代码并将其无人监管地部署到生产环境,同时禁止从不可信来源下载组件。
供应链攻击可呈现多种形态。臭名昭著的SolarWinds攻击始于俄罗斯黑客将恶意软件植入该公司热门网络管理软件的更新版本,约18,000名客户受到波及。尽管实际受影响的企业仅约100家,但名单中包含大型企业和政府机构。 价值15亿美元的Bybit黑客事件被追溯至朝鲜,其攻击手段是利用被入侵的加密货币应用程序。最近的GlasWurm供应链攻击则涉及一种隐蔽的自我复制代码,该代码感染了Open VSX Marketplace平台。
防止供应链中的漏洞利用
由于供应链攻击涉及系统间的相互依赖性,防御此类攻击需要采取全面策略。OWASP提供了防范攻击的建议,包括建立补丁管理流程以应对:
- 了解您整个软件的软件物料清单(SBOM),并集中管理SBOM。建议在构建过程中(而非后期)使用标准格式(如SPDX或CyclonedX)生成SBOM,并为每个版本至少发布一份机器可读的SBOM。
- 追踪所有依赖项(包括传递性依赖),移除未使用的依赖项以及不必要的功能、组件、文件和文档。
- 持续使用OWASP依赖性 扫描或retire.js等工具,对客户端和服务器端组件及其依赖关系进行清点。
- 及时了解安全漏洞动态,持续监控常见漏洞披露(CVE)网站和国家漏洞数据库(NVD)等信息源,并订阅与您所用组件相关的安全漏洞电子邮件通知。
- 仅从可信来源通过安全链接获取组件。例如,可信供应商会愿意与研究人员合作,共同发布该研究人员在组件中发现的CVE漏洞。
- 请明智地选择要使用的依赖项版本,仅在必要时执行升级。若使用第三方库,请确保其安全漏洞已在NVD等权威来源中公布。
- 请监控是否存在未维护或未受支持的库和组件。若无法进行补丁修复,应考虑部署虚拟补丁以监控、检测或防范已发现的问题。
- 请定期更新开发者工具。
- 在您的持续集成/持续交付(CI/CD)管道中,将组件视为该流程的一部分进行处理,通过强化和监控组件,同时记录变更。
变更管理或追踪流程也应适用于您的持续集成/持续交付(CI/CD)配置、代码仓库、沙盒环境、集成开发环境(IDEs)、SBOM工具、生成的工件、日志系统及日志记录、第三方集成(如SaaS服务)、工件仓库以及容器注册表。 您还需全面保障系统安全——从开发工作站到CI/CD管道。务必启用多因素认证机制,同时严格执行身份与访问管理策略。
在高度互联的世界中,防范软件供应链中断是一项多层次的持续性任务。企业必须在其应用程序和组件的整个生命周期中采取强有力的防御措施,以抵御这种快速演变的现代威胁。
关于SCW Trust Score™用户的提示 :
在我们更新学习平台内容以符合OWASP 2025十大安全风险标准期间,您可能会注意到全栈开发人员的信任评分出现轻微调整。如有疑问或需要协助,请联系您的客户经理。
随着万众期待的OWASP 2025十大安全风险榜单发布,企业需特别警惕一系列新型威胁,其中潜伏在榜首的威胁尤为值得关注。软件供应链漏洞作为新增类别登场,但并非全新威胁,在开放网络应用安全项目(OWASP)四年期网络应用程序最严重安全风险榜单中位列第三。企业必须对此风险高度重视——若尚未如此。
软件供应链中的漏洞源自2021年清单中的一个类别。脆弱且过时的组件,如今已扩展为整个软件生态系统中更广泛的风险范畴,涵盖依赖项、构建系统及分发基础设施。 鉴于高调的供应链攻击造成的破坏——如2019年的SolarWinds事件、今年早些时候的Bybit黑客攻击,以及正在进行的Shai-Hulud攻击活动——该问题出现在清单中并不令人意外。 ——这种恶意自我复制的npm蠕虫正肆虐暴露的开发环境。
OWASP十大安全威胁榜单总体保持稳定,这符合每四年发布一次的惯例,期间会进行更新。榜单内部通常存在一定变动——例如长期位居榜单的注入攻击从第3位降至第5位,不安全设计下滑两位至第6位,而安全配置错误则从第5位跃升至第2位。 "访问控制失效"仍稳居榜首。2025年版新增两项:前文提及的"软件供应链漏洞"与"异常处理不当",后者位列第十。本文将重点剖析新增的供应链安全漏洞条目。
安全漏洞几乎无处不在
软件供应链漏洞在该列表中属于较为特殊的类别,因为在十大条目中,其在OWASP研究数据中的出现频率最低,但该类别下五个通用弱点枚举(CWE)所对应的平均利用难度和影响程度却最高。 OWASP认为该类别存在率较低,源于当前测试该类漏洞的挑战,但这一状况未来有望改善。无论如何,压倒性多数的调查参与者都将软件供应链故障列为首要问题。
供应链中的大多数安全漏洞源于业务活动的互联互通,涉及上游、下游合作伙伴及第三方。每次交互都包含软件组件(也称为依赖项或库),这些组件可能存在安全隐患。 若企业未能追踪自身组件(客户端、服务器端或嵌套组件)的所有版本,以及其他库的传递性依赖项,以确保其不存在漏洞、未被弃用或过时,则可能面临风险。 组件通常拥有与应用程序同等的权限,因此受损组件(包括来自第三方或开源库的组件)可能引发广泛影响。及时打补丁和更新至关重要。即使是按月或按季度的常规补丁计划,也可能导致企业面临数日乃至数月的风险暴露期。
同样,若您的供应链中缺乏变更管理流程,当您未能追踪集成开发环境(IDEs)、代码库、映像库、库库或其他供应链环节的变更时,也可能导致安全漏洞。 企业必须通过实施访问控制和最小权限原则来保障供应链安全,确保无人能创建代码并将其无人监管地部署到生产环境,同时禁止从不可信来源下载组件。
供应链攻击可呈现多种形态。臭名昭著的SolarWinds攻击始于俄罗斯黑客将恶意软件植入该公司热门网络管理软件的更新版本,约18,000名客户受到波及。尽管实际受影响的企业仅约100家,但名单中包含大型企业和政府机构。 价值15亿美元的Bybit黑客事件被追溯至朝鲜,其攻击手段是利用被入侵的加密货币应用程序。最近的GlasWurm供应链攻击则涉及一种隐蔽的自我复制代码,该代码感染了Open VSX Marketplace平台。
防止供应链中的漏洞利用
由于供应链攻击涉及系统间的相互依赖性,防御此类攻击需要采取全面策略。OWASP提供了防范攻击的建议,包括建立补丁管理流程以应对:
- 了解您整个软件的软件物料清单(SBOM),并集中管理SBOM。建议在构建过程中(而非后期)使用标准格式(如SPDX或CyclonedX)生成SBOM,并为每个版本至少发布一份机器可读的SBOM。
- 追踪所有依赖项(包括传递性依赖),移除未使用的依赖项以及不必要的功能、组件、文件和文档。
- 持续使用OWASP依赖性 扫描或retire.js等工具,对客户端和服务器端组件及其依赖关系进行清点。
- 及时了解安全漏洞动态,持续监控常见漏洞披露(CVE)网站和国家漏洞数据库(NVD)等信息源,并订阅与您所用组件相关的安全漏洞电子邮件通知。
- 仅从可信来源通过安全链接获取组件。例如,可信供应商会愿意与研究人员合作,共同发布该研究人员在组件中发现的CVE漏洞。
- 请明智地选择要使用的依赖项版本,仅在必要时执行升级。若使用第三方库,请确保其安全漏洞已在NVD等权威来源中公布。
- 请监控是否存在未维护或未受支持的库和组件。若无法进行补丁修复,应考虑部署虚拟补丁以监控、检测或防范已发现的问题。
- 请定期更新开发者工具。
- 在您的持续集成/持续交付(CI/CD)管道中,将组件视为该流程的一部分进行处理,通过强化和监控组件,同时记录变更。
变更管理或追踪流程也应适用于您的持续集成/持续交付(CI/CD)配置、代码仓库、沙盒环境、集成开发环境(IDEs)、SBOM工具、生成的工件、日志系统及日志记录、第三方集成(如SaaS服务)、工件仓库以及容器注册表。 您还需全面保障系统安全——从开发工作站到CI/CD管道。务必启用多因素认证机制,同时严格执行身份与访问管理策略。
在高度互联的世界中,防范软件供应链中断是一项多层次的持续性任务。企业必须在其应用程序和组件的整个生命周期中采取强有力的防御措施,以抵御这种快速演变的现代威胁。
关于SCW Trust Score™用户的提示 :
在我们更新学习平台内容以符合OWASP 2025十大安全风险标准期间,您可能会注意到全栈开发人员的信任评分出现轻微调整。如有疑问或需要协助,请联系您的客户经理。
请点击下方链接下载该资源的PDF文件。
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
查看报告预约演示
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
本文由Secure Code Warrior的行业专家团队致力于让开发人员从一开始就具备构建安全软件的知识和技能。凭借在安全编码实践、行业趋势和现实世界见解方面的深厚专业知识。
随着万众期待的OWASP 2025十大安全风险榜单发布,企业需特别警惕一系列新型威胁,其中潜伏在榜首的威胁尤为值得关注。软件供应链漏洞作为新增类别登场,但并非全新威胁,在开放网络应用安全项目(OWASP)四年期网络应用程序最严重安全风险榜单中位列第三。企业必须对此风险高度重视——若尚未如此。
软件供应链中的漏洞源自2021年清单中的一个类别。脆弱且过时的组件,如今已扩展为整个软件生态系统中更广泛的风险范畴,涵盖依赖项、构建系统及分发基础设施。 鉴于高调的供应链攻击造成的破坏——如2019年的SolarWinds事件、今年早些时候的Bybit黑客攻击,以及正在进行的Shai-Hulud攻击活动——该问题出现在清单中并不令人意外。 ——这种恶意自我复制的npm蠕虫正肆虐暴露的开发环境。
OWASP十大安全威胁榜单总体保持稳定,这符合每四年发布一次的惯例,期间会进行更新。榜单内部通常存在一定变动——例如长期位居榜单的注入攻击从第3位降至第5位,不安全设计下滑两位至第6位,而安全配置错误则从第5位跃升至第2位。 "访问控制失效"仍稳居榜首。2025年版新增两项:前文提及的"软件供应链漏洞"与"异常处理不当",后者位列第十。本文将重点剖析新增的供应链安全漏洞条目。
安全漏洞几乎无处不在
软件供应链漏洞在该列表中属于较为特殊的类别,因为在十大条目中,其在OWASP研究数据中的出现频率最低,但该类别下五个通用弱点枚举(CWE)所对应的平均利用难度和影响程度却最高。 OWASP认为该类别存在率较低,源于当前测试该类漏洞的挑战,但这一状况未来有望改善。无论如何,压倒性多数的调查参与者都将软件供应链故障列为首要问题。
供应链中的大多数安全漏洞源于业务活动的互联互通,涉及上游、下游合作伙伴及第三方。每次交互都包含软件组件(也称为依赖项或库),这些组件可能存在安全隐患。 若企业未能追踪自身组件(客户端、服务器端或嵌套组件)的所有版本,以及其他库的传递性依赖项,以确保其不存在漏洞、未被弃用或过时,则可能面临风险。 组件通常拥有与应用程序同等的权限,因此受损组件(包括来自第三方或开源库的组件)可能引发广泛影响。及时打补丁和更新至关重要。即使是按月或按季度的常规补丁计划,也可能导致企业面临数日乃至数月的风险暴露期。
同样,若您的供应链中缺乏变更管理流程,当您未能追踪集成开发环境(IDEs)、代码库、映像库、库库或其他供应链环节的变更时,也可能导致安全漏洞。 企业必须通过实施访问控制和最小权限原则来保障供应链安全,确保无人能创建代码并将其无人监管地部署到生产环境,同时禁止从不可信来源下载组件。
供应链攻击可呈现多种形态。臭名昭著的SolarWinds攻击始于俄罗斯黑客将恶意软件植入该公司热门网络管理软件的更新版本,约18,000名客户受到波及。尽管实际受影响的企业仅约100家,但名单中包含大型企业和政府机构。 价值15亿美元的Bybit黑客事件被追溯至朝鲜,其攻击手段是利用被入侵的加密货币应用程序。最近的GlasWurm供应链攻击则涉及一种隐蔽的自我复制代码,该代码感染了Open VSX Marketplace平台。
防止供应链中的漏洞利用
由于供应链攻击涉及系统间的相互依赖性,防御此类攻击需要采取全面策略。OWASP提供了防范攻击的建议,包括建立补丁管理流程以应对:
- 了解您整个软件的软件物料清单(SBOM),并集中管理SBOM。建议在构建过程中(而非后期)使用标准格式(如SPDX或CyclonedX)生成SBOM,并为每个版本至少发布一份机器可读的SBOM。
- 追踪所有依赖项(包括传递性依赖),移除未使用的依赖项以及不必要的功能、组件、文件和文档。
- 持续使用OWASP依赖性 扫描或retire.js等工具,对客户端和服务器端组件及其依赖关系进行清点。
- 及时了解安全漏洞动态,持续监控常见漏洞披露(CVE)网站和国家漏洞数据库(NVD)等信息源,并订阅与您所用组件相关的安全漏洞电子邮件通知。
- 仅从可信来源通过安全链接获取组件。例如,可信供应商会愿意与研究人员合作,共同发布该研究人员在组件中发现的CVE漏洞。
- 请明智地选择要使用的依赖项版本,仅在必要时执行升级。若使用第三方库,请确保其安全漏洞已在NVD等权威来源中公布。
- 请监控是否存在未维护或未受支持的库和组件。若无法进行补丁修复,应考虑部署虚拟补丁以监控、检测或防范已发现的问题。
- 请定期更新开发者工具。
- 在您的持续集成/持续交付(CI/CD)管道中,将组件视为该流程的一部分进行处理,通过强化和监控组件,同时记录变更。
变更管理或追踪流程也应适用于您的持续集成/持续交付(CI/CD)配置、代码仓库、沙盒环境、集成开发环境(IDEs)、SBOM工具、生成的工件、日志系统及日志记录、第三方集成(如SaaS服务)、工件仓库以及容器注册表。 您还需全面保障系统安全——从开发工作站到CI/CD管道。务必启用多因素认证机制,同时严格执行身份与访问管理策略。
在高度互联的世界中,防范软件供应链中断是一项多层次的持续性任务。企业必须在其应用程序和组件的整个生命周期中采取强有力的防御措施,以抵御这种快速演变的现代威胁。
关于SCW Trust Score™用户的提示 :
在我们更新学习平台内容以符合OWASP 2025十大安全风险标准期间,您可能会注意到全栈开发人员的信任评分出现轻微调整。如有疑问或需要协助,请联系您的客户经理。
%20(1).avif)
.avif)
