不安全的软件已经在破坏着我们的金融、医疗、国 防、能源和其他重要基础设施。随着我们的软件变得越 来越重要、复杂且相互关联,实现应用程序安全的难度 也呈指数级增长。而现代软件开发过程的飞速发展,使 得快速、准确地识别风险变得愈发的重要,。我们再也不 能忽视像《OWASP Top 10》中所列出相对简单的安全 问题。 Top 10项目的目标,是通过识别出企业组织所面对 最严重的风险来提高人们对应用程序安全的意识。Top 10项目被众多标准、书籍、工具和相关组织引用,包括 MITRE、PCI DSS、DISA、 FTC等等。《OWASP Top 10》最初于2003年发布,并于2004年和2007年相继做 了少许的更新。2010年版的修改则以针对风险进行排序, 而不仅仅对于流行程度。2013年版和本次发布的2017 年版也沿用了该方法。 我们鼓励各位通过使用《OWASP Top 10》帮助您 的企业组织开始了解应用程序安全。开发人员可以从其 他企业组织的错误中学到经验。管理人员则需要开始思 考如何在企业内部开发软件应用和API时管理风险。 从长远来看,我们鼓励您创建一个与您的文化和技 术都兼容的应用安全计划。这些计划可以是任意形式和 规模,您还应该试图避免开展过程模型中规定的每件事。 相反,您应该利用您企业组织的现有优势,并衡量对您 有用的事物。 我们希望《OWASP Top 10》能对您的应用程序安 全有帮助。如果有任何疑问、评论和想法,请不要犹豫, 立即通过公开的[email protected]或者私 人的[email protected],与我们取得联系。
文档下载地址:
http://www.owasp.org.cn/owasp-project/OWASPTop102017RC1V1.0.pdf