OWASP 2025年十大安全风险:软件供应链失效
随着万众期待的2025年十大威胁榜单发布,企业需特别警惕若干新型威胁,其中包括潜伏在榜单前列的潜在风险。软件供应链中断——尽管作为新类别首次出现在开放网络应用安全项目每四年发布的网络应用安全最严重风险清单中,但这绝非全新威胁。企业必须对此予以高度重视,即便当前尚未充分重视。
软件供应链问题在2021年已超出原有分类范畴。其影响范围从脆弱过时的组件,扩展至依赖关系、构建系统、分发基础设施等整个软件生态系统的广泛漏洞。考虑到以下高调的供应链攻击造成的损害,该问题跻身榜单实属意料之中:SolarWinds攻击事件发生于2019年,Bybit交易所遭黑客入侵发生于今年年初,而当前正在进行的Shai-Flood行动尤为棘手——这种自我复制的npm蠕虫正对公开的开发环境造成严重破坏。
OWASP十大漏洞榜单总体保持稳定,虽然期间会有更新,但每四年发布一次的频率恰如其分。通常榜单会出现一定程度的更替:例如长期占据榜单的注入漏洞从第3位降至第5位,不安全的设计从第2位跌至第6位,而安全配置错误则从第5位跃升至第2位。访问控制失效仍稳居榜首。2025年版新增两项内容:"软件供应链失效"与"异常处理不当",分别位列第十位。本文将重点解析供应链漏洞相关的新增条目。
脆弱性几乎可能在任何地方发生
软件供应链障碍在OWASP调查数据中是发生频率最低的类别,在10个条目中显得较为罕见。然而,该类别中的5个通用弱点清单(CWE)条目导致其平均利用难度和影响程度评分最高。OWASP认为该类别存在感有限,源于当前测试中的技术限制,但最终有望得到改善。无论如何,绝大多数调查受访者仍将软件供应链中断列为首要担忧事项。
摆脱供应链脆弱性,实现脱离上下游合作伙伴及第三方参与的相互关联业务模式而持续成长。所有交互都涉及未受保护的软件组件(亦称依赖项或库)。企业若无法追踪自身组件(客户端、服务器端或嵌套组件)的所有版本及其(来自其他库的)渐进式依赖关系,就无法确保自身不会因组件脆弱、缺乏支持或过时而陷入风险。通常组件与应用程序享有同等权限,因此受损组件的影响范围可能极为广泛——包括来自第三方及开源仓库的组件。及时打补丁和更新至关重要。即便采用月度或季度补丁计划,企业仍可能面临数日乃至数月的风险暴露期。
同样地,如果集成开发环境 (IDE)、代码仓库、图像及库仓库,或未追踪供应链其他部分的变更时,供应链缺乏变更管理流程可能导致漏洞。组织需通过实施访问控制和最小权限策略来强化供应链,确保个人无法在无人监督的情况下编写代码并部署至生产环境,或从不可信来源下载组件。
供应链攻击存在多种形态。这场臭名昭著的SolarWinds攻击始于俄罗斯攻击者向该公司广受欢迎的网络管理软件更新中注入恶意软件。约18,000名客户受到波及。实际受影响的企业近百家,其中包括大型企业和政府机构。追溯至朝鲜的15亿美元Bybit黑客事件中,遭入侵的加密货币应用程序亦在列。近期针对Glassworm的供应链攻击中,则包含感染Open VSX Marketplace的隐形自我复制代码。
防止供应链漏洞利用
由于供应链攻击涉及系统间的相互依赖关系,因此需要采取综合性防御策略。OWASP通过引入如下补丁管理流程等措施,为防范攻击提供了建议。
- 全面掌握所有软件的软件物料清单(SBOM),并实现SBOM的集中管理。与后期使用SPDX或CycloneDX等标准格式生成SBOM相比,最佳实践是在构建过程中生成SBOM,并在每次发布时至少公开一份机器可读的SBOM。
- 追踪所有包含推移性依赖关系的依赖关系,移除未使用的依赖项,并删除多余的功能、组件、文件及文档。
- 使用以下工具持续清点客户端和服务器端组件及其依赖关系:OWASP 依赖关系检查或 retire.js。
- 请持续监控以下原因,以获取有关漏洞的最新信息。使用通用漏洞与危情(CVE)网站和国家漏洞数据库(NVD),订阅与所用组件相关的安全漏洞电子邮件警报。
- 请仅通过安全链接从可信来源获取组件。例如,可信供应商会与研究人员合作,愿意披露研究人员在组件中发现的CVE漏洞。
- 请有意识地选择使用的依赖项版本,仅在必要时进行升级。请使用在NVD等知名来源中已公开漏洞的第三方库进行开发。
- 监控未维护或未受支持的库和组件。若无法应用补丁,请考虑引入虚拟补丁来监控、检测或防护发现的问题。
- 定期更新开发者工具。
- 将CI/CD管道中的组件作为此流程的一部分进行处理,在记录变更的同时加强监控。
变更管理或变更追踪流程还需适用于第三方集成,包括持续集成/持续交付(CI/CD)配置、代码仓库、沙盒环境、集成开发环境(IDE)、软件物料清单(SBOM)工具、生成的工件、日志系统与日志、软件即服务(SaaS)、工件仓库、容器注册表等。此外,还需强化从开发者工作站到CI/CD管道的整个系统。同时应启用多因素认证,并实施严格的身份管理策略与访问控制策略。
在高度互联的世界中,防范软件供应链中断是一项多维度的持续性工作。为抵御这一快速演变的现代威胁,组织必须在应用程序和组件的整个生命周期中实施强有力的防御措施。
SCW 信任评分相关说明™ 用户:
在根据OWASP Top 10 2025基准更新学习平台内容的过程中,全栈开发者的信任评分可能会出现轻微调整。如有疑问或需要支持,请联系客户成功专员。
Secure Code Warrior让安全编码成为一种积极而富有吸引力的体验,随着开发者技能的提升而不断进阶。它引导每位程序员踏上他们期望的学习之路,使具备安全技能的开发者能够在互联世界中成为日常的超级英雄。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
预约演示
Secure Code Warrior让安全编码成为一种积极而富有吸引力的体验,随着开发者技能的提升而不断进阶。它引导每位程序员踏上他们期望的学习之路,使具备安全技能的开发者能够在互联世界中成为日常的超级英雄。
本文由Secure Code Warrior的行业专家团队撰写,旨在帮助开发者掌握从零开始构建安全软件的知识与技能。我们运用了关于安全编码实践的深厚专业知识、行业动态以及现实世界的洞察。
随着万众期待的2025年十大威胁榜单发布,企业需特别警惕若干新型威胁,其中包括潜伏在榜单前列的潜在风险。软件供应链中断——尽管作为新类别首次出现在开放网络应用安全项目每四年发布的网络应用安全最严重风险清单中,但这绝非全新威胁。企业必须对此予以高度重视,即便当前尚未充分重视。
软件供应链问题在2021年已超出原有分类范畴。其影响范围从脆弱过时的组件,扩展至依赖关系、构建系统、分发基础设施等整个软件生态系统的广泛漏洞。考虑到以下高调的供应链攻击造成的损害,该问题跻身榜单实属意料之中:SolarWinds攻击事件发生于2019年,Bybit交易所遭黑客入侵发生于今年年初,而当前正在进行的Shai-Flood行动尤为棘手——这种自我复制的npm蠕虫正对公开的开发环境造成严重破坏。
OWASP十大漏洞榜单总体保持稳定,虽然期间会有更新,但每四年发布一次的频率恰如其分。通常榜单会出现一定程度的更替:例如长期占据榜单的注入漏洞从第3位降至第5位,不安全的设计从第2位跌至第6位,而安全配置错误则从第5位跃升至第2位。访问控制失效仍稳居榜首。2025年版新增两项内容:"软件供应链失效"与"异常处理不当",分别位列第十位。本文将重点解析供应链漏洞相关的新增条目。
脆弱性几乎可能在任何地方发生
软件供应链障碍在OWASP调查数据中是发生频率最低的类别,在10个条目中显得较为罕见。然而,该类别中的5个通用弱点清单(CWE)条目导致其平均利用难度和影响程度评分最高。OWASP认为该类别存在感有限,源于当前测试中的技术限制,但最终有望得到改善。无论如何,绝大多数调查受访者仍将软件供应链中断列为首要担忧事项。
摆脱供应链脆弱性,实现脱离上下游合作伙伴及第三方参与的相互关联业务模式而持续成长。所有交互都涉及未受保护的软件组件(亦称依赖项或库)。企业若无法追踪自身组件(客户端、服务器端或嵌套组件)的所有版本及其(来自其他库的)渐进式依赖关系,就无法确保自身不会因组件脆弱、缺乏支持或过时而陷入风险。通常组件与应用程序享有同等权限,因此受损组件的影响范围可能极为广泛——包括来自第三方及开源仓库的组件。及时打补丁和更新至关重要。即便采用月度或季度补丁计划,企业仍可能面临数日乃至数月的风险暴露期。
同样地,如果集成开发环境 (IDE)、代码仓库、图像及库仓库,或未追踪供应链其他部分的变更时,供应链缺乏变更管理流程可能导致漏洞。组织需通过实施访问控制和最小权限策略来强化供应链,确保个人无法在无人监督的情况下编写代码并部署至生产环境,或从不可信来源下载组件。
供应链攻击存在多种形态。这场臭名昭著的SolarWinds攻击始于俄罗斯攻击者向该公司广受欢迎的网络管理软件更新中注入恶意软件。约18,000名客户受到波及。实际受影响的企业近百家,其中包括大型企业和政府机构。追溯至朝鲜的15亿美元Bybit黑客事件中,遭入侵的加密货币应用程序亦在列。近期针对Glassworm的供应链攻击中,则包含感染Open VSX Marketplace的隐形自我复制代码。
防止供应链漏洞利用
由于供应链攻击涉及系统间的相互依赖关系,因此需要采取综合性防御策略。OWASP通过引入如下补丁管理流程等措施,为防范攻击提供了建议。
- 全面掌握所有软件的软件物料清单(SBOM),并实现SBOM的集中管理。与后期使用SPDX或CycloneDX等标准格式生成SBOM相比,最佳实践是在构建过程中生成SBOM,并在每次发布时至少公开一份机器可读的SBOM。
- 追踪所有包含推移性依赖关系的依赖关系,移除未使用的依赖项,并删除多余的功能、组件、文件及文档。
- 使用以下工具持续清点客户端和服务器端组件及其依赖关系:OWASP 依赖关系检查或 retire.js。
- 请持续监控以下原因,以获取有关漏洞的最新信息。使用通用漏洞与危情(CVE)网站和国家漏洞数据库(NVD),订阅与所用组件相关的安全漏洞电子邮件警报。
- 请仅通过安全链接从可信来源获取组件。例如,可信供应商会与研究人员合作,愿意披露研究人员在组件中发现的CVE漏洞。
- 请有意识地选择使用的依赖项版本,仅在必要时进行升级。请使用在NVD等知名来源中已公开漏洞的第三方库进行开发。
- 监控未维护或未受支持的库和组件。若无法应用补丁,请考虑引入虚拟补丁来监控、检测或防护发现的问题。
- 定期更新开发者工具。
- 将CI/CD管道中的组件作为此流程的一部分进行处理,在记录变更的同时加强监控。
变更管理或变更追踪流程还需适用于第三方集成,包括持续集成/持续交付(CI/CD)配置、代码仓库、沙盒环境、集成开发环境(IDE)、软件物料清单(SBOM)工具、生成的工件、日志系统与日志、软件即服务(SaaS)、工件仓库、容器注册表等。此外,还需强化从开发者工作站到CI/CD管道的整个系统。同时应启用多因素认证,并实施严格的身份管理策略与访问控制策略。
在高度互联的世界中,防范软件供应链中断是一项多维度的持续性工作。为抵御这一快速演变的现代威胁,组织必须在应用程序和组件的整个生命周期中实施强有力的防御措施。
SCW 信任评分相关说明™ 用户:
在根据OWASP Top 10 2025基准更新学习平台内容的过程中,全栈开发者的信任评分可能会出现轻微调整。如有疑问或需要支持,请联系客户成功专员。
随着万众期待的2025年十大威胁榜单发布,企业需特别警惕若干新型威胁,其中包括潜伏在榜单前列的潜在风险。软件供应链中断——尽管作为新类别首次出现在开放网络应用安全项目每四年发布的网络应用安全最严重风险清单中,但这绝非全新威胁。企业必须对此予以高度重视,即便当前尚未充分重视。
软件供应链问题在2021年已超出原有分类范畴。其影响范围从脆弱过时的组件,扩展至依赖关系、构建系统、分发基础设施等整个软件生态系统的广泛漏洞。考虑到以下高调的供应链攻击造成的损害,该问题跻身榜单实属意料之中:SolarWinds攻击事件发生于2019年,Bybit交易所遭黑客入侵发生于今年年初,而当前正在进行的Shai-Flood行动尤为棘手——这种自我复制的npm蠕虫正对公开的开发环境造成严重破坏。
OWASP十大漏洞榜单总体保持稳定,虽然期间会有更新,但每四年发布一次的频率恰如其分。通常榜单会出现一定程度的更替:例如长期占据榜单的注入漏洞从第3位降至第5位,不安全的设计从第2位跌至第6位,而安全配置错误则从第5位跃升至第2位。访问控制失效仍稳居榜首。2025年版新增两项内容:"软件供应链失效"与"异常处理不当",分别位列第十位。本文将重点解析供应链漏洞相关的新增条目。
脆弱性几乎可能在任何地方发生
软件供应链障碍在OWASP调查数据中是发生频率最低的类别,在10个条目中显得较为罕见。然而,该类别中的5个通用弱点清单(CWE)条目导致其平均利用难度和影响程度评分最高。OWASP认为该类别存在感有限,源于当前测试中的技术限制,但最终有望得到改善。无论如何,绝大多数调查受访者仍将软件供应链中断列为首要担忧事项。
摆脱供应链脆弱性,实现脱离上下游合作伙伴及第三方参与的相互关联业务模式而持续成长。所有交互都涉及未受保护的软件组件(亦称依赖项或库)。企业若无法追踪自身组件(客户端、服务器端或嵌套组件)的所有版本及其(来自其他库的)渐进式依赖关系,就无法确保自身不会因组件脆弱、缺乏支持或过时而陷入风险。通常组件与应用程序享有同等权限,因此受损组件的影响范围可能极为广泛——包括来自第三方及开源仓库的组件。及时打补丁和更新至关重要。即便采用月度或季度补丁计划,企业仍可能面临数日乃至数月的风险暴露期。
同样地,如果集成开发环境 (IDE)、代码仓库、图像及库仓库,或未追踪供应链其他部分的变更时,供应链缺乏变更管理流程可能导致漏洞。组织需通过实施访问控制和最小权限策略来强化供应链,确保个人无法在无人监督的情况下编写代码并部署至生产环境,或从不可信来源下载组件。
供应链攻击存在多种形态。这场臭名昭著的SolarWinds攻击始于俄罗斯攻击者向该公司广受欢迎的网络管理软件更新中注入恶意软件。约18,000名客户受到波及。实际受影响的企业近百家,其中包括大型企业和政府机构。追溯至朝鲜的15亿美元Bybit黑客事件中,遭入侵的加密货币应用程序亦在列。近期针对Glassworm的供应链攻击中,则包含感染Open VSX Marketplace的隐形自我复制代码。
防止供应链漏洞利用
由于供应链攻击涉及系统间的相互依赖关系,因此需要采取综合性防御策略。OWASP通过引入如下补丁管理流程等措施,为防范攻击提供了建议。
- 全面掌握所有软件的软件物料清单(SBOM),并实现SBOM的集中管理。与后期使用SPDX或CycloneDX等标准格式生成SBOM相比,最佳实践是在构建过程中生成SBOM,并在每次发布时至少公开一份机器可读的SBOM。
- 追踪所有包含推移性依赖关系的依赖关系,移除未使用的依赖项,并删除多余的功能、组件、文件及文档。
- 使用以下工具持续清点客户端和服务器端组件及其依赖关系:OWASP 依赖关系检查或 retire.js。
- 请持续监控以下原因,以获取有关漏洞的最新信息。使用通用漏洞与危情(CVE)网站和国家漏洞数据库(NVD),订阅与所用组件相关的安全漏洞电子邮件警报。
- 请仅通过安全链接从可信来源获取组件。例如,可信供应商会与研究人员合作,愿意披露研究人员在组件中发现的CVE漏洞。
- 请有意识地选择使用的依赖项版本,仅在必要时进行升级。请使用在NVD等知名来源中已公开漏洞的第三方库进行开发。
- 监控未维护或未受支持的库和组件。若无法应用补丁,请考虑引入虚拟补丁来监控、检测或防护发现的问题。
- 定期更新开发者工具。
- 将CI/CD管道中的组件作为此流程的一部分进行处理,在记录变更的同时加强监控。
变更管理或变更追踪流程还需适用于第三方集成,包括持续集成/持续交付(CI/CD)配置、代码仓库、沙盒环境、集成开发环境(IDE)、软件物料清单(SBOM)工具、生成的工件、日志系统与日志、软件即服务(SaaS)、工件仓库、容器注册表等。此外,还需强化从开发者工作站到CI/CD管道的整个系统。同时应启用多因素认证,并实施严格的身份管理策略与访问控制策略。
在高度互联的世界中,防范软件供应链中断是一项多维度的持续性工作。为抵御这一快速演变的现代威胁,组织必须在应用程序和组件的整个生命周期中实施强有力的防御措施。
SCW 信任评分相关说明™ 用户:
在根据OWASP Top 10 2025基准更新学习平台内容的过程中,全栈开发者的信任评分可能会出现轻微调整。如有疑问或需要支持,请联系客户成功专员。
请点击以下链接下载此资源的PDF文件。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
显示报告预约演示
Secure Code Warrior让安全编码成为一种积极而富有吸引力的体验,随着开发者技能的提升而不断进阶。它引导每位程序员踏上他们期望的学习之路,使具备安全技能的开发者能够在互联世界中成为日常的超级英雄。
本文由Secure Code Warrior的行业专家团队撰写,旨在帮助开发者掌握从零开始构建安全软件的知识与技能。我们运用了关于安全编码实践的深厚专业知识、行业动态以及现实世界的洞察。
随着万众期待的2025年十大威胁榜单发布,企业需特别警惕若干新型威胁,其中包括潜伏在榜单前列的潜在风险。软件供应链中断——尽管作为新类别首次出现在开放网络应用安全项目每四年发布的网络应用安全最严重风险清单中,但这绝非全新威胁。企业必须对此予以高度重视,即便当前尚未充分重视。
软件供应链问题在2021年已超出原有分类范畴。其影响范围从脆弱过时的组件,扩展至依赖关系、构建系统、分发基础设施等整个软件生态系统的广泛漏洞。考虑到以下高调的供应链攻击造成的损害,该问题跻身榜单实属意料之中:SolarWinds攻击事件发生于2019年,Bybit交易所遭黑客入侵发生于今年年初,而当前正在进行的Shai-Flood行动尤为棘手——这种自我复制的npm蠕虫正对公开的开发环境造成严重破坏。
OWASP十大漏洞榜单总体保持稳定,虽然期间会有更新,但每四年发布一次的频率恰如其分。通常榜单会出现一定程度的更替:例如长期占据榜单的注入漏洞从第3位降至第5位,不安全的设计从第2位跌至第6位,而安全配置错误则从第5位跃升至第2位。访问控制失效仍稳居榜首。2025年版新增两项内容:"软件供应链失效"与"异常处理不当",分别位列第十位。本文将重点解析供应链漏洞相关的新增条目。
脆弱性几乎可能在任何地方发生
软件供应链障碍在OWASP调查数据中是发生频率最低的类别,在10个条目中显得较为罕见。然而,该类别中的5个通用弱点清单(CWE)条目导致其平均利用难度和影响程度评分最高。OWASP认为该类别存在感有限,源于当前测试中的技术限制,但最终有望得到改善。无论如何,绝大多数调查受访者仍将软件供应链中断列为首要担忧事项。
摆脱供应链脆弱性,实现脱离上下游合作伙伴及第三方参与的相互关联业务模式而持续成长。所有交互都涉及未受保护的软件组件(亦称依赖项或库)。企业若无法追踪自身组件(客户端、服务器端或嵌套组件)的所有版本及其(来自其他库的)渐进式依赖关系,就无法确保自身不会因组件脆弱、缺乏支持或过时而陷入风险。通常组件与应用程序享有同等权限,因此受损组件的影响范围可能极为广泛——包括来自第三方及开源仓库的组件。及时打补丁和更新至关重要。即便采用月度或季度补丁计划,企业仍可能面临数日乃至数月的风险暴露期。
同样地,如果集成开发环境 (IDE)、代码仓库、图像及库仓库,或未追踪供应链其他部分的变更时,供应链缺乏变更管理流程可能导致漏洞。组织需通过实施访问控制和最小权限策略来强化供应链,确保个人无法在无人监督的情况下编写代码并部署至生产环境,或从不可信来源下载组件。
供应链攻击存在多种形态。这场臭名昭著的SolarWinds攻击始于俄罗斯攻击者向该公司广受欢迎的网络管理软件更新中注入恶意软件。约18,000名客户受到波及。实际受影响的企业近百家,其中包括大型企业和政府机构。追溯至朝鲜的15亿美元Bybit黑客事件中,遭入侵的加密货币应用程序亦在列。近期针对Glassworm的供应链攻击中,则包含感染Open VSX Marketplace的隐形自我复制代码。
防止供应链漏洞利用
由于供应链攻击涉及系统间的相互依赖关系,因此需要采取综合性防御策略。OWASP通过引入如下补丁管理流程等措施,为防范攻击提供了建议。
- 全面掌握所有软件的软件物料清单(SBOM),并实现SBOM的集中管理。与后期使用SPDX或CycloneDX等标准格式生成SBOM相比,最佳实践是在构建过程中生成SBOM,并在每次发布时至少公开一份机器可读的SBOM。
- 追踪所有包含推移性依赖关系的依赖关系,移除未使用的依赖项,并删除多余的功能、组件、文件及文档。
- 使用以下工具持续清点客户端和服务器端组件及其依赖关系:OWASP 依赖关系检查或 retire.js。
- 请持续监控以下原因,以获取有关漏洞的最新信息。使用通用漏洞与危情(CVE)网站和国家漏洞数据库(NVD),订阅与所用组件相关的安全漏洞电子邮件警报。
- 请仅通过安全链接从可信来源获取组件。例如,可信供应商会与研究人员合作,愿意披露研究人员在组件中发现的CVE漏洞。
- 请有意识地选择使用的依赖项版本,仅在必要时进行升级。请使用在NVD等知名来源中已公开漏洞的第三方库进行开发。
- 监控未维护或未受支持的库和组件。若无法应用补丁,请考虑引入虚拟补丁来监控、检测或防护发现的问题。
- 定期更新开发者工具。
- 将CI/CD管道中的组件作为此流程的一部分进行处理,在记录变更的同时加强监控。
变更管理或变更追踪流程还需适用于第三方集成,包括持续集成/持续交付(CI/CD)配置、代码仓库、沙盒环境、集成开发环境(IDE)、软件物料清单(SBOM)工具、生成的工件、日志系统与日志、软件即服务(SaaS)、工件仓库、容器注册表等。此外,还需强化从开发者工作站到CI/CD管道的整个系统。同时应启用多因素认证,并实施严格的身份管理策略与访问控制策略。
在高度互联的世界中,防范软件供应链中断是一项多维度的持续性工作。为抵御这一快速演变的现代威胁,组织必须在应用程序和组件的整个生命周期中实施强有力的防御措施。
SCW 信任评分相关说明™ 用户:
在根据OWASP Top 10 2025基准更新学习平台内容的过程中,全栈开发者的信任评分可能会出现轻微调整。如有疑问或需要支持,请联系客户成功专员。
%20(1).avif)
.avif)
