Top 10 năm nay có 3 danh mục mới, 4 danh mục có những thay đổi về tên, phạm vi và một số hợp nhất, cụ thể:
Sean Wright - kỹ sư bảo mật ứng dụng chính tại Immersive Labs nhận định rằng: "Danh sách Top 10 cho thấy mặc dù việc bảo mật ứng dụng đã được quan tâm trong thời gian gần đây, tuy nhiên vẫn còn rất nhiều việc cần phải làm. Một nửa nguy cơ đã xuất hiện trong các Top 10 kể từ năm 2003, nhưng sau 18 năm phát triển công nghệ, thử nghiệm và học hỏi vẫn chưa đủ để khắc phục những sai sót này. Điều này có nghĩa cần thay đổi cách tiếp cận đối với việc bảo mật ứng dụng".
Wright cho biết việc áp dụng phương pháp tiếp cận kết hợp công nghệ và con người để giải quyết các lỗ hổng này sẽ cải thiện tính bảo mật của ứng dụng và hy vọng sẽ giải quyết được một số vấn đề ảnh hưởng nhất trong hai thập kỷ qua.
John Andrews, Phó Chủ tịch của Global Channel tại Invicti nói rằng, Top 10 năm 2021 của OWASP có cái nhìn bao quát hơn nhiều so với các phiên bản trước, điều này gửi đi một thông điệp rõ ràng rằng việc tìm kiếm và sửa chữa các lỗ hổng chỉ là một phần của bảo mật ứng dụng hiện đại.
Andrews cho biết, các danh mục mới như Thiết kế không an toàn, Phần mềm và Dữ liệu không toàn vẹn củng cố hai xu hướng chính của ngành: chuyển sang thực hiện kiểm tra bảo mật từ giai đoạn đầu của quá trình phát triển và gần đây là tập trung vào bảo mật chuỗi cung ứng phần mềm.
Nhưng ông cũng nói thêm rằng: "Mặt trái của cách tiếp cận mới theo hướng toàn cảnh này không giống như các phiên bản ban đầu, Top 10 của năm 2021 không còn là một danh sách kiểm tra kiểm tra lỗ hổng đơn giản, có thể hạn chế tính hữu ích của nó như một tiêu chuẩn bảo mật ứng dụng không chính thức nhưng được sử dụng rộng rãi".
Chris Wysopal chuyên gia bảo mật và đồng thời là CTO của Veracode nhận định, các vấn đề về chèn mã và cấu hình sai thường có thể được khắc phục bằng một vài dòng mã, nhưng các lỗi như thiết kế không an toàn có thể mất vài ngày hoặc vài tuần để sửa chữa. Đây là lý do tại sao điều quan trọng là phải bắt được một số sai sót ở giai đoạn thiết kế hoặc trong quá trình phát triển, khi đó chúng có thể được sửa dễ dàng hơn nhiều.
Anh Tuấn
09:00 | 06/10/2021
10:00 | 07/10/2021
11:00 | 13/09/2021
09:00 | 06/03/2024
Tác nhân đe dọa liên quan đến Trung Quốc có tên là Mustang Panda đã nhắm mục tiêu vào nhiều quốc gia châu Á bằng cách sử dụng một biến thể mới của backdoor PlugX có tên là DOPLUGS.
13:00 | 26/02/2024
Tin tặc Nga có thể có liên quan đến cuộc tấn công mạng lớn nhất nhằm vào cơ sở hạ tầng quan trọng của Đan Mạch, 22 công ty liên quan đến hoạt động của ngành năng lượng của nước này đã bị nhắm mục tiêu vào tháng 5/2023.
13:00 | 23/01/2024
Các nhà cung cấp dịch vụ viễn thông, truyền thông, Internet (ISP), nhà cung cấp dịch vụ công nghệ thông tin và các trang web của người Kurd ở Hà Lan đã trở thành mục tiêu của một chiến dịch gián điệp mạng mới do nhóm tin tặc có tên gọi là Sea Turtle thực hiện. Nhóm này hoạt động với động cơ chính trị nhằm thu thập thông tin tình báo phù hợp với những lợi ích của Thổ Nhĩ Kỳ. Bài viết này sẽ cùng phân tích về các hoạt động của nhóm tin tặc này và các kỹ thuật trong chiến dịch mới nhất, dựa trên báo cáo điều tra của công ty an ninh mạng Hunt&Hackett (Hà Lan).
15:00 | 18/12/2023
Ngày 12/12, Kyivstar - nhà mạng lớn nhất Ukraine hứng chịu một cuộc tấn công mạng lớn, khiến hàng triệu người dùng mất kết nối di động và Internet. Đáng chú ý sự cố gây ảnh hưởng đến hệ thống cảnh báo không kích của nước này.
Các chuyên gia bảo mật cảnh báo rằng thế giới đang phải đối mặt với sự phát triển của những công nghệ mới, mối đe dọa đang ngày càng gia tăng cả về phạm vi, lẫn cường độ của các cuộc tấn công.
08:00 | 17/04/2024