2
FW
前言
不安全的软件正在破坏着我们的金融、医疗、国防、能源和其他重要的基础设施。随着我们的软件变得愈加重要、
复杂且相互关联,实现应用程序安全的难度也呈指数级增长。而现代软件开发过程的飞速发展,使得快速、准确地识别
软件安全风险变得愈发的重要。我们再也不能忽视像《OWASP Top 10》中所列出的相对简单的安全问题。
在2017年版《OWASP Top 10》文档的编制过程中,我们收到了大量的反馈意见,对处理反馈意见所投入的努力远
大于在编制该文档时付出的努力。这显现出了大家对“OWASP Top 10”有非常高的热情,以及为大多数用例设置恰当
的“10大应用程序安全风险”对OWASP是多么的重要。
虽然 “OWASP Top 10”项目的最初目标只是为了提高开发人员和管理人员的安全意识,但它已经成为了实际的应
用安全标准。
在本版本中,我们以可测的方式简明地编写问题和建议,使得《OWASP Top 10》能更适用于企业组织的应用安全
计划。我们鼓励大型和高效的组织在需要使用真正标准时能使用《OWASP 应用程序安全验证标准(ASVS)》,但对于
大多数组织而言,《OWASP Top 10》是开启应用安全旅程的重要开端。
我们已经为《OWASP Top 10》的不同用户编写了一系列建议后续步骤,包括适用于CIO和CISO的“开发人员下一
步做什么?”、“安全测试人员下一步做什么?”、“企业组织下一步做什么?”,以及适用于应用程序管理人员或应
用程序生命周期负责人的“应用程序管理者下一步做什么?” 。
从长远来看,我们鼓励所有的软件开发团队和组织机构创建一个与您团队或组织文化和技术都兼容的应用安全计划。
这些计划可以是任意形式和规模。您应该利用您企业组织的现有优势,并根据《应用软件保障成熟度模型》来衡量和改
进企业组织的应用安全计划。
我们希望《OWASP Top 10》能对您的应用程序安全有帮助。如果有任何疑问、评论和想法,请不要犹豫,立即通
过GitHub与OWASP取得联系。
• https://github.com/OWASP/Top10/issues
您可以在以下链接找到《OWASP Top 10》及不同语言的翻译文档:
• https://www.owasp.org/index.php/top10
最后,我们要感谢 “OWASP Top 10”项目创始领导人Dave Wichers和Jeff Williams付出的辛勤努力,并相信我们
能在大家的帮助下完成这项工作。谢谢!
• Torsten Gigler
• Brian Glas
• Neil Smithline
• Andrew van der Stock
感谢Autodesk 对2017年版“OWASP Top 10”项目提供的赞助。
感谢SecZone 对2017年版“OWASP Top 10”中文项目(包括:RC1版、RC2版和最终版)提供的赞助。
感谢提供漏洞普遍性数据或其他帮助的企业组织和个人,以及中文项目组成员,我们将他们列在本文的致谢页中。
评论0