Perché OWASP Top 10 (applicazione web) non è cambiato dal 2013, ma Mobile Top 10 è recente come 2016?

Il motivo del ritardo è che c'è stato un piccolo cambiamento nel Web T10. Come dichiarato da Dave Wichers, responsabile del progetto Web T10, il 30 giugno 2015 :

Historically, we've produced a new OWASP Top 10 every 3 years because this seems to balance the tempo of change in the AppSec market, all the work everyone does to map their tool/process/other thing to each version of the OWASP Top 10, and the effort required to produce it. We've been producing a new one every three years since 2004 (i.e., 2007/2010/2013), and so a new version for 2016 is due. (Definitely not happening in 2015).

However, we've been thinking about what might change in a 2016 release of the Top 10 and we don't actually think it would change much, if at all, which is kind of sad actually. I suspect some Top 10 items might move up or down based on the vulnerability prevalence statistics that we would need to gather and process, but I have my doubts that any new vulnerability types would break into the Top 10.

As such, given that we don't expect the list to actually change in any substantial way, the project has decided to defer the next update to a 2017 release.

Questa tabella delle Note sulla versione di T10 2013 mostra la piccola modifica: Le modifiche sono state in gran parte dovute al ripensamento su come classificare i dati grezzi, non a causa di cambiamenti significativi nei dati.

Alcuni hanno postulato che il livello di impegno per la creazione del T10 era un fattore per ritardarlo. Mentre è molto lavoro, non penso che sia stato un fattore importante. Il Web T10 è il progetto più riconosciuto di OWASP e ha sempre molti volontari (ho contribuito a quelli del 2007, 2010 e 2013).

Speculando se la stessa cosa accadrà per le applicazioni mobili, non penso che sia probabile nel prossimo futuro. La tecnologia mobile è ancora agli inizi e soggetta a rapidi cambiamenti.

Tieni presente che OWASP Top 10 è stato aggiornato nel 2017 .

L'ho scritto su OWASP Top 10 : 2013 vs 2017 .

TLDR:

Tre nuovi rischi sono stati aggiunti quest'anno: XML Entità esterne (XXE), deserializzazione non sicura e registrazione e monitoraggio insufficienti.

Due elementi sono stati rimossi dalla top 10 di quest'anno: falsi richieste cross-site (CSRF) e reindirizzamenti non convalidati e inoltro.

Due rischi del report 2013 (Riferimenti agli oggetti diretti insicuri e Controllo degli accessi a livello di funzione mancante) erano uniti in un singolo rischio: Controllo accessi interrotto.

Non lo aggiornano ogni anno e sono fatti da volontari nel loro tempo libero, quindi gli aggiornamenti possono essere lenti in quanto è molto completo e richiede molto lavoro. Tuttavia, stanno attualmente lavorando per aggiornarlo quest'anno e chiedono alle persone di inviare dati al riguardo.

The OWASP Top 10 project is launching its effort to update the Top 10 again. The current version was released in 2013, so this update is expected to be the 2016 or more likely 2017 release. This time around, we are making an open data call so any organization with a broad set of application vulnerability statistics can contribute their data to the project. To make it easier for the project to consume this contributed data, we are requesting it be provided via a Google form. DEADLINE: Data must be submitted by July 20, 2016.

Il sito OWASP TOP 10 è stato visitato il 13 luglio 2016

Il motivo per cui Mobile Top 10 è aggiornato è perché si tratta di una nuova aggiunta rispetto al progetto OWASP TOP 10, attivo dal 2003/2004, quando la sicurezza mobile non era quella che è oggi.

Perché nessun aggiornamento?

Non ne sono sicuro, ma probabilmente non ci sarebbe stato bisogno, o troppa discussione nella comunità di OWASP per essere in grado di aggiornare la lista dei migliori 10 del web dal 2013. Inoltre, il mondo mobile si sta evolvendo rapidamente negli ultimi anni, probabilmente è perché sono richieste diverse vulnerabilità e necessità e quindi l'industria della sicurezza (mobile) ha dovuto svilupparsi più rapidamente insieme agli sviluppi del settore mobile.

Cronologia di OWASP primi 10

Il primo elenco di Top 10 di OWASP (web) è stato pubblicato in 2003 e nel 2004 seguito da una nuova lista. Quindi in 2007 , 2010 e 2013 sono stati rilasciati nuovi elenchi.

Nel 2013 il primo Mobile Top 10 è stato creato ed è diventato definitivo in 2014 . Per quanto ne so nel 2015, solo una nuova analisi top ten mobile è stata fatta ma non ha portato a un elenco finale. Ora il Mobile Top 10 2016 a cui hai fatto riferimento è attualmente un documento candidato alla release .

Sviluppi

L'Open Web Application Security Project (OWASP) sta attualmente lavorando su un OWASP top 10 2016 al momento. I suggerimenti possono essere inoltrati fino al 20 luglio 2016. Fonte: owasp.org .