Top 10 năm nay có 3 danh mục mới, 4 danh mục có những thay đổi về tên, phạm vi và một số hợp nhất, cụ thể:
Sean Wright - kỹ sư bảo mật ứng dụng chính tại Immersive Labs nhận định rằng: "Danh sách Top 10 cho thấy mặc dù việc bảo mật ứng dụng đã được quan tâm trong thời gian gần đây, tuy nhiên vẫn còn rất nhiều việc cần phải làm. Một nửa nguy cơ đã xuất hiện trong các Top 10 kể từ năm 2003, nhưng sau 18 năm phát triển công nghệ, thử nghiệm và học hỏi vẫn chưa đủ để khắc phục những sai sót này. Điều này có nghĩa cần thay đổi cách tiếp cận đối với việc bảo mật ứng dụng".
Wright cho biết việc áp dụng phương pháp tiếp cận kết hợp công nghệ và con người để giải quyết các lỗ hổng này sẽ cải thiện tính bảo mật của ứng dụng và hy vọng sẽ giải quyết được một số vấn đề ảnh hưởng nhất trong hai thập kỷ qua.
John Andrews, Phó Chủ tịch của Global Channel tại Invicti nói rằng, Top 10 năm 2021 của OWASP có cái nhìn bao quát hơn nhiều so với các phiên bản trước, điều này gửi đi một thông điệp rõ ràng rằng việc tìm kiếm và sửa chữa các lỗ hổng chỉ là một phần của bảo mật ứng dụng hiện đại.
Andrews cho biết, các danh mục mới như Thiết kế không an toàn, Phần mềm và Dữ liệu không toàn vẹn củng cố hai xu hướng chính của ngành: chuyển sang thực hiện kiểm tra bảo mật từ giai đoạn đầu của quá trình phát triển và gần đây là tập trung vào bảo mật chuỗi cung ứng phần mềm.
Nhưng ông cũng nói thêm rằng: "Mặt trái của cách tiếp cận mới theo hướng toàn cảnh này không giống như các phiên bản ban đầu, Top 10 của năm 2021 không còn là một danh sách kiểm tra kiểm tra lỗ hổng đơn giản, có thể hạn chế tính hữu ích của nó như một tiêu chuẩn bảo mật ứng dụng không chính thức nhưng được sử dụng rộng rãi".
Chris Wysopal chuyên gia bảo mật và đồng thời là CTO của Veracode nhận định, các vấn đề về chèn mã và cấu hình sai thường có thể được khắc phục bằng một vài dòng mã, nhưng các lỗi như thiết kế không an toàn có thể mất vài ngày hoặc vài tuần để sửa chữa. Đây là lý do tại sao điều quan trọng là phải bắt được một số sai sót ở giai đoạn thiết kế hoặc trong quá trình phát triển, khi đó chúng có thể được sửa dễ dàng hơn nhiều.
Anh Tuấn
09:00 | 06/10/2021
10:00 | 07/10/2021
11:00 | 13/09/2021
14:00 | 25/04/2024
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
16:00 | 15/03/2024
Ngày 11/3, Văn phòng Thủ tướng Pháp thông báo một số cơ quan nhà nước của Pháp đã bị tấn công mạng với cường độ chưa từng có đồng thời nhấn mạnh rằng chính phủ đã có thể hạn chế tác động từ vụ việc này.
08:00 | 10/02/2024
Các nhà nghiên cứu an ninh mạng của hãng bảo mật Fortinet (Mỹ) đã xác định được các gói độc hại trên kho lưu trữ Python Package Index (PyPI) mã nguồn mở nhằm phân phối phần mềm độc hại đánh cắp thông tin có tên là WhiteSnake trên hệ thống Windows. Bài viết này tập trung phân tích một số payload trên các gói trong kho lưu trữ PyPI.
08:00 | 12/01/2024
Trung tuần tháng 12, các nhà nghiên cứu của hãng bảo mật Kaspersky phát hiện một mối đe dọa đa nền tảng mới có tên là NKAbuse. Phần mềm độc hại này được viết bằng ngôn ngữ Golang, sử dụng công nghệ NKN (New Kind of Network) để trao đổi dữ liệu giữa các thiết bị mạng ngang hàng, được trang bị khả năng tạo backdoor và phát động các cuộc tấn công từ chối dịch vụ phân tán (DDoS), bên cạnh đó NKAbuse cũng có đủ sự linh hoạt để tạo các tệp nhị phân tương thích với nhiều kiến trúc khác nhau.
Dell đã thông báo về một vụ vi phạm dữ liệu lớn, sau khi tin tặc có bí danh Menelik đăng bán 49 triệu dữ liệu khách hàng của Dell trên web đen.
16:00 | 15/05/2024