Entry № 878
OWASP Top 10
OWASP Top 10 是什么?
OWASP Top 10OWASP 发布的安全意识文件,列出 Web 应用最关键的安全风险,基于真实漏洞数据定期更新。
OWASP Top 10 是开放全球应用安全项目(OWASP)社区驱动的出版物,对 Web 应用面临的最关键安全风险进行排序。每个版本(包括 2017、2021 以及正在制定的 2025 版)都基于各组织提供的数据和从业者调查,并将风险归入若干类别,如 Broken Access Control、Cryptographic Failures、Injection、Insecure Design、Security Misconfiguration 等。它是一份意识性文档而非正式标准,但被监管要求、PCI DSS、安全编码课程、AppSec 工具及漏洞赏金范围广泛引用。OWASP 还发布面向 API、移动应用、LLM 应用和 CI/CD 等场景的 Top 10 变体。
● 示例
- 01
团队将威胁建模与 OWASP Top 10 对应,以确定整改优先级。
- 02
SAST 产品按 OWASP Top 10 类别上报发现项,与开发者培训内容保持一致。
● 常见问题
OWASP Top 10 是什么?
OWASP 发布的安全意识文件,列出 Web 应用最关键的安全风险,基于真实漏洞数据定期更新。 它属于网络安全的 合规与框架 分类。
OWASP Top 10 是什么意思?
OWASP 发布的安全意识文件,列出 Web 应用最关键的安全风险,基于真实漏洞数据定期更新。
如何防御 OWASP Top 10?
针对 OWASP Top 10 的防御通常结合技术控制与运营实践,详见上方完整定义。
OWASP Top 10 还有哪些其他名称?
常见的别称包括: OWASP 十大风险。