2017 OWASP Top 10候选版全译：关注组件安全与框架进步

OWASP Top 10 2017候选版本（ReleaseCandidate，RC）是OWASP（Open Web Application Security Project，开放网络应用安全项目）的一项重要活动，旨在提升全球软件开发者对于应用安全风险的认识。该版本是在2017年6月30日公共评议期结束后，预计在同年7月或8月正式发布的。与2013年的版本相比，2017版Top 10的主要变化在于加入了2013-A9条目，关注使用已知漏洞组件的问题。这一变化反映了自2013年以来开源组件使用的普及，尽管使用易受攻击组件的现象仍然存在，但其普遍性已有所减少，这归功于意识的提高和安全工具的发展。 CSRF（Cross-Site Request Forgery）问题自2007年首次列入Top 10以来，其重要性已显著降低，这得益于许多框架内置的自动防御机制以及开发人员对防范此类攻击的理解增强。OWASP鼓励公众提供反馈，所有非私人意见将在最终公开发布时一并记录并发布，建议在提交更改建议时提供完整的Top 10项目列表、改动理由以及引用的具体页面和部分。 OWASP Top 10 2017候选版的建设性意见可通过邮件地址OWASP-TopTen@lists.owasp.org发送，私人文档可以发送到dave.wichers@owasp.org。匿名反馈同样受到欢迎。在发布后，OWASP社区将继续更新支持文档，如OWASP Wiki、OWASP Developers Guide等，并将Top 10翻译成多种语言，以促进全球范围内软件安全的提升。 创始人Jeff Williams和共同作者Dave Wichers强调了公众反馈对项目及其整个OWASP项目群的重要性，他们感谢所有参与者的努力，共同致力于提升全球软件的安全性。通过OWASP Top 10，组织旨在持续推动网络安全意识和最佳实践的传播。