前のバージョンから4年以上、世の中の変化は加速してきたため、OWASP Top 10 は変更を必要とされています。我々は、OWASP Top 10 をすっかりリファクタリングし、手法を改良し、新しいデータ募集のプロセスを活用し、コミュニティと協働し、リスクを評価し直し、それぞれのリスクを一から書き直し、一般に利用されているフレームワークや言語への参照を追加しています。
ここ数年で、アプリケーションの基本的な技術とアーキテクチャは大きく変わりました:
- 従来のモノリシックアプリケーションからNode.jsやSpring Bootで書かれたマイクロサービスに置き換わっています。 マイクロサービスには独自のセキュリティ上の課題があります。例えば、マイクロサービス、コンテナ、機密管理などの間の信頼関係の確立、などがあります。インターネットからアクセス不可能だと期待されている古いコードは、いまや、シングルページアプリケーション(SPA)やモバイルアプリケーションで使われているAPI や RESTful Webサービスの背後に居座っています。コードによるアーキテクチャの前提、たとえば信頼できる発信者のような前提はもはや有効ではありません。
- AngularやReactなどのJavaScriptフレームワークで書かれたシングルページアプリケーションによって、モジュール化された機能豊富なフロントエンドの開発ができるようになりました。従来、サーバー側で提供されてきた機能がクライアント側の機能に移るため、それはそれで独自のセキュリティ上の課題となります。
- JavaScriptはいまやWebの主要言語であり、サーバー側で実行されるNode.jsや、クライアントで動作するBootstrap、Electron、Angular、Reactなどの今どきのWebフレームワークで用いられています。
- A4:2017-XML 外部エンティティ参照 (XXE) は、新しいカテゴリです。主にソースコード分析を行うセキュリティテストツール(SAST)から寄せられたデータが根拠となっています。
コミュニティに向けて、2つのセキュリティ上の弱点に関する見識を提供してくれるよう求めました。500を超える意見をいただき、すでにデータによる裏付けのある問題(機微な情報の露出とXXE)を除き、二つの新しい問題があります:
- A8:2017-安全でないデシリアライゼーション、この問題のある環境ではリモートからのコード実行や機微なオブジェクト操作が可能になります。
- A10:2017-不十分なロギングとモニタリング、この機能の欠落は、不正な活動やセキュリティ違反の検知、インシデント対応、デジタルフォレンジックを妨げるか、あるいは大幅に遅延させる可能性があります。
- A4-安全でないオブジェクト直接参照 と A7-機能レベルアクセス制御の欠落 は、A5:2017-アクセス制御の不備にマージされました。
- A8-クロスサイトリクエストフォージェリ (CSRF) は、多くのフレームワークがこの対策を講じており (CSRF対策)、アプリケーションの5%程度でのみ観察されています。
- A10-未検証のリダクレクトとフォワードは、アプリケーションのおよそ8%で観察されており、XXEが入ったことにより、外れることになりました。
