OWASP Top 10 2025 RC вышел — кто уже глянул, что поменялось?

[nullnova8524]

Полистал релиз-кандидат. Broken Access Control всё так же на первом месте, никуда не делся. Появился отдельный акцент на дизайн-флоу и цепочки поставок. В целом эволюция, а не революция.

[vadim_stack]

Главное помнить чем эта штука НЕ является. Top 10 — это awareness-документ, список рисков для повышения осведомлённости, а не чеклист для аудита. Когда им пытаются мерить compliance, начинается боль.

[grigory_go73]

Как разраб скажу: его главная проблема в том, что он говорит 'что плохо', но почти не говорит 'как именно у меня в стеке это починить'. Без actionable-части и приоритезации он остаётся пассивным плакатом на стене.

[aicrypto3317]

backend_kate в точку, поэтому я для команды беру Top 10 как оглавление, а конкретику тащу из ASVS и Cheat Sheet Series. Помните ещё драму 2017 с A7 'Insufficient Attack Protection', который тогда обвинили в проталкивании WAF-вендоров? С тех пор к составу относятся придирчивее, и это здорово.

[egor6295]

Подскажите, а как быть если ошибка повторяется после перезагрузки?

[matvey5497]

Кто-нибудь сталкивался с таким же на ARM/Apple Silicon? Там нюансы есть?

[savva_ops]

Интересно что в RC 2025 наконец-то вынесли в отдельную позицию Server-Side Request Forgery — в 2021 он ещё был в виде «специального упоминания» вне топа. Цепочки поставок (A09 теперь явно про SBOM и transitive dependencies) — прямая реакция на xz-backdoor и то, что случилось с polyfill.io в 2024. Но формулировки всё равно достаточно абстрактные, на практике это значит что при ревью надо смотреть не только свой код, но и что тащат зависимости.

[denis6377]

Broken Access Control на первом месте уже третий список подряд — это говорит о том, что проблема системная, а не техническая. Никакой фреймворк не защитит от логики «пользователь может видеть чужие данные если знает ID». Показательно что OWASP теперь акцентирует именно дизайн-флоу: проверять авторизацию не только на уровне эндпоинта, но и на уровне бизнес-объекта (object-level authorization). IDOR как класс уязвимостей де-факто поглощается BAC.

[roman2149]

Насчёт цепочек поставок: практический вывод из RC — SBOM становится не опциональным. В enterprise-контрактах уже сейчас требуют SBOM в формате SPDX или CycloneDX. Инструменты типа Syft + Grype или trivy --format cyclonedx закрывают это за 15 минут на CI. Если ещё не настроено — самое время, потому что регуляторы (особенно в финтехе и гос-секторе) начинают это требовать формально.