Hack Alerta

OWASP Top 10 2025: duas novas categorias e mudança de foco para supply chain e exceções

Por Redação Hack Alerta Publicado em 10/11/2025 12:02 Tendências Tempo de leitura: 3 min

A revisão preliminar do OWASP Top 10 2025 traz duas novas categorias: Software Supply Chain Failures e Mishandling of Exceptional Conditions. O documento realinha foco para causas sistêmicas (cadeia de suprimentos, tratamento de exceções) e recomenda integração de verificações de supply chain e melhores práticas de erro em DevSecOps.

A versão revisada do OWASP Top 10 2025 traz duas novas categorias e ajustes que realinham o principal ranking de riscos para aplicações web, enfatizando causas sistêmicas como falhas na cadeia de suprimentos de software e tratamento inadequado de exceções.

Resumo executivo

Publicado em revisão (entrada de comunidade e análise de dados), o OWASP Top 10 2025 introduz A03:2025 — Software Supply Chain Failures — e A10:2025 — Mishandling of Exceptional Conditions. A versão mencionada foi divulgada em 6 de novembro de 2025 e segue aberta a feedback até 20 de novembro de 2025.

Principais mudanças e números

  • A01:2025 — Broken Access Control mantém a primeira posição; a categoria foi ampliada para incorporar SSRF, totalizando 40 CWEs e afetando, em média, 3.73% das aplicações testadas.
  • A02:2025 — Security Misconfiguration subiu para a segunda posição com impacto médio apontado em 3.00% das aplicações.
  • A03:2025 — Software Supply Chain Failures é nova e amplia o escopo de componentes vulneráveis para incluir dependências, sistemas de build, CI/CD e infraestrutura de distribuição (5 CWEs destacados).
  • A10:2025 — Mishandling of Exceptional Conditions adiciona 24 CWEs relacionadas a tratamento inadequado de erros/estados de falha que podem expor dados ou causar DoS.

O que muda na prática para times de desenvolvimento e segurança

O novo Top 10 enfatiza raiz de problemas (por exemplo, falhas em cadeias de dependência e automação de build) em vez de sintomas superficiais. Consequências práticas incluem:

  • Ampliação de controles de supply chain: checagem de integridade de artefatos, assinatura de builds, verificação de dependências transitivas e avaliação de pipelines de CI/CD.
  • Maior atenção ao design de tratamento de exceções: políticas para "fail‑closed" sempre que possível, sanitização de mensagens de erro e evitar exposição de dados sensíveis por logs.
  • Integração do Top 10 em processos DevSecOps, com prioridades de remediação alinhadas a risco e impacto por categoria.

Metodologia e observações

A revisão foi baseada em mapeamento de mais de 175.000 CVEs para 643 CWEs, análise de 589 CWEs e contribuição da comunidade. Exploitability e impacto consideraram métricas CVSS (v2, v3, v4) e ponderações de prevalência. O documento final ainda pode sofrer refinamentos após o período de feedback.

Limites e recomendações de adoção

Embora o Top 10 continue sendo uma referência para priorização, organizações devem contextualizar as categorias para seus ambientes: aplicar scans específicos, treinar equipes em threat modeling e incorporar verificações de supply chain e controles de erro no ciclo de vida do software.

Implicações regulatórias

Para empresas brasileiras sob LGPD, riscos que resultem em exfiltração de dados pessoais via falhas de acesso ou integridade podem exigir notificações e medidas corretivas documentadas. A inclusão de supply chain e manejo de exceções no Top 10 exige que controles de governança e revisão de terceiros passem a integrar programas de conformidade.

Baseado em publicação original de Cyber Security News
Tags: #owasp #top-10 #software-supply-chain #exceptions #broken-access-control #devsecops #vulnerabilidades #cwe #cve
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar