OWASP于11月6日发布的更新是自 2021 年以来的首次重大前10榜单更新，其显著特点在于强调供应链风险和系统性设计缺陷，而不仅仅是常见的软件编码错误。对于防御者而言，关键要点在于需要将应用安全、软件供应链监督和运营韧性实践更紧密地结合在一起。安全风险的真实本质Keeper Security 的首席信息安全官 Shane Barney 表示："2025 年 OWASP 十大榜单突显了行业在理解风险真实本质方面取得的巨大进步。这不再仅仅是修补漏洞，而是要认识到漏洞往往源于我们系统的复杂性和技术发展的速度。安全团队不再只是追查缺陷，而是在管理那些导致缺陷形成的条件。"OWASP 根据社区反馈以及对约 22 万个 CVE(映射到 589 个通用缺陷枚举标识符)相关数据的分析汇编了这份更新后的清单，而 2021 年时仅涉及 400 个 CWE。CWE 是特定类型或类别软件或硬件漏洞的标识符。OWASP 清单中两个最重大的变化是引入了新的"异常情况处理不当"类别，并将 2021 年的"易受攻击和过时组件"类别重新分类和定义为更广泛的"软件供应链故障"类别。基于社区反馈(绝大多数将其视为首要关注点)，OWASP 将供应链类别列在十大榜单的第三位。OWASP 在最新的十大榜单中表示："该类别包含 5 个 CWE，在收集的数据中存在有限，但我们认为这是由于测试方面的挑战，希望测试能在这方面跟上。该类别在数据中出现次数最少，但 CVE 的平均利用率和影响得分最高。"异常情况处理不当在 OWASP 榜单中排名第十，涵盖了与错误处理、逻辑缺陷以及其他与系统异常状况相关场景有关的安全问题。安全配置错误从之前的第五位上升三位，在新榜单中位列第二，因为其作为安全漏洞来源已变得更为普遍。在 OWASP 分析的近 280 万个应用程序中，有 3% 的应用程序存在该类别中 16 个常见 CWE 中的一个或多个。OWASP 表示："这并不令人意外，因为软件工程正在持续增加基于配置的应用程序行为数量。"与 2021 年相比，OWASP 在新榜单中将加密失败、注入和不安全设计的排名降低了，这反映了许多组织在解决这些问题方面取得的改进。其余类别——身份验证失败、软件或数据完整性失败以及日志记录和警报失败——分别保持了之前第七、第八和第九的位置。安全故障不仅仅是编码错误本次更新的一个最大要点是 OWASP 认识到，安全故障不仅源于单个软件缺陷，而且更多是源于软件生命周期中固有的弱点，包括开发流程、云配置和供应链依赖关系。总的来说，OWASP 的 2025 年榜单将安全描绘成一个设计、实施和运营的连续体，而非代码的静态快照。业界更广泛地认识到需要解决安全故障的根本原因，而不仅仅是症状。Barney 补充说，对于安全领导者而言，这份清单强化了一个事实，即预防和韧性必须齐头并进。它反映了安全如何从一次性项目或合规性检查项演变为一个持续的过程，内置到设计和部署的每个阶段。"更新后的 OWASP 框架提醒我们，我们的防御能力取决于我们工程的一致性、我们流程的清晰度以及我们团队的纪律性"他说。OWASP 的修订强调了许多漏洞源于 inherited 的弱点，例如易受攻击的开源组件、过时的加密库或不安全的默认设置，而非新颖的攻击手段。通过明确指出供应链和设计阶段的问题，OWASP 旨在强调深度防御的必要性。对于防御者而言，关键信息是确保从代码仓库到 CI/CD 流水线，再到这些弱点实际显现的生产环境，整个过程中的可见性。OWASP Top 10：2025 简介A01：2025 - 访问控制损坏A02：2025 - 安全配置错误A03：2025 - 软件供应链故障A04：2025 - 加密故障A05：2025 - 注入A06：2025 - 不安全设计A07：2025 - 身份验证失败A08：2025 - 软件或数据完整性故障A09：2025 - 日志记录和警报故障A10：2025 - 异常情况处理不当A01：2025 - 访问控制破坏保持其榜首的位置，成为最严重的应用程序安全风险。贡献的数据表明，平均有 3.73% 的受测应用存在此类别下 40 个通用缺陷枚举中的一个或多个。如上图中虚线所示，服务器端请求伪造已被纳入此类别。A02：2025 - 安全配置错误从 2021 年的第5位上升到 2025 年的第2位。在本周期的数据中，配置错误更为普遍。有 3.00% 的受测应用存在此类别下 16 个 CWE 中的一个或多个。这并不令人意外，因为软件工程正在持续增加基于配置的应用程序行为数量。A03：2025 - 软件供应链故障是 A06：2021 - 易受攻击和过时的组件的扩展，包括在软件依赖项、构建系统和分发基础设施的整个生态系统内或整个生态系统中发生的更广泛的安全入侵。此类别在社区调查中被绝大多数投票者列为重点关注项。该类别包含 5 个 CWE，在收集的数据中存在有限，但我们认为这是由于测试方面的挑战，并希望测试能在这方面跟上。该类别在数据中出现次数最少，但 CVE 的平均利用率和影响得分最高。A04：2025 - 加密故障 在排名中下降2位，从第2下降了两位至第4。贡献的数据表明，平均有 3.80% 的应用存在此类别下 32 个 CWE 中的一个或多个。此类别通常导致敏感数据泄露或系统被攻陷。A05：2025 - 注入 排名下降2位，在排名中从第3下降到#第5，保持了相对于加密失败和不安全设计的位置。注入是被测试最多的类别之一，与此类别下 38 个 CWE 相关的 CVE 数量也最多。注入包括从跨站脚本(高频/低影响)到 SQL 注入(低频/高影响)漏洞等一系列问题。A06：2025 - 不安全设计 排名下降2位，在排名中从第4滑落到第6，因为“安全配置错误”和“软件供应链故障”超越了它。此类别于 2021 年推出，我们已经看到行业在威胁建模方面取得了显著改进，并更加重视安全设计。A07：2025 - 身份验证失败保持在第7的位置，但名称略有更改(以前是“识别和身份验证失败”)，以更准确地反映此类别中的 36 个 CWE。这一类别仍然很重要，但标准化身份验证框架的日益广泛使用，似乎对减少身份验证失败的发生产生了积极影响。A08：2025 - 软件或数据完整性故障 继续在列表第8位。此类别侧重于未能维护信任边界以及未能验证软件、代码和数据制品的完整性，其层级低于软件供应链故障。A09：2025 - 日志记录和警报故障 保持在第9的位置。此类别的名称略有更改(以前称为“安全日志记录和监视故障”)，以强调对相关日志记录事件采取适当作所需的警报功能的重要性。仅有完善的日志记录而没有警报功能，在识别安全事件方面价值有限。此类别在数据中的代表性始终不足，但再次被社区调查参与者投票选入榜单。A10：2025 - 异常情况处理不当 是 2025 年新增的类别。此类别包含 24 个 CWE，主要关注不当的错误处理、逻辑错误、失败开放以及其他由系统可能遇到的异常情况引发的相关场景。 https://owasp.org/Top10/2025/0x00_2025-Introduction/ 

近日，数说安全发布《2025年中国网络安全市场全景图》(以下简称“全景图”)。中科天齐凭借在程序分析领域突出的自主创新能力和持续研发投入，成功入选“开发安全-静态应用安全测试(SAST)”细分领域，彰显了公司在软件安全关键技术领域的领先实力与行业影响力。作为国内权威的网络安全研究机构，数说安全采用较为严格的录入标准，在完成对基础资质与市场活跃度的核验后，还对企业经营稳健性与可持续发展能力进行多项评估，力求收录那些已经过实际场景检验、具备一定市场份额，并能保持持续研发投入与自主创新动力的品牌。为网络安全主管部门、行业从业者、产品与服务使用及采购单位，以及资本机构提供更可信、更具参考价值的结构化信息。 中科天齐多年来始终专注于提升我国软件安全技术能力与服务水准，依托在程序分析领域深厚的技术积累，不断推进产品迭代与技术创新。公司始终坚持高强度研发投入，已构建起完善的自主知识产权体系，目前已获软著百余项，并在多个行业实践中积累了丰富的成功案例。未来，中科天齐将继续强化技术攻关与自主研发战略，以创新为驱动，助力企业构建更安全、可靠的软件基础，为网络安全产业的可持续发展注入持续动能。

2025年6月23-27日，第33届ACM软件工程基础国际会议(FSE 2025)在挪威特隆赫姆举办。FSE是软件工程领域国际顶级会议，是中国计算机学会(CCF)推荐的A类国际会议。中科天齐团队成员曹立庆博士前往参会，并在会上展示了题为“VulPA: Detecting Semantically Recurring Vulnerabilities with Multiobject Typestate Analysis”(基于多对象类型状态分析检测语义重复漏洞)的研究成果。会场留影语义重复漏洞在现实软件系统中广泛存在，往往具有相似的根本成因。然而，由于其在语法和语义层面的多样性变化，以及涉及多个变量的控制流和数据流交互，现有检测方法在系统化表达与分析此类漏洞方面存在明显局限。针对这一问题，该研究提出了VulPA——一种创新的基于多对象类型状态分析的漏洞检测框架。VulPA能有效地识别漏洞模式中涉及多个对象的控制依赖与数据依赖关系，从而实现对语义重复漏洞的精准检测。该方法主要包括两个核心步骤：1. 漏洞模式建模研究团队设计了漏洞模式描述语言(VPDL)，以代码风格的语法形式精确表达变量之间的依赖关系及漏洞触发条件，从根因层面抽象并统一描述语义重复漏洞的特征。2. 多对象类型状态分析引擎在Heros IFDS框架基础上，VulPA实现在过程间追踪多个变量的类型状态变化。结合VPDL 所定义的漏洞模式，VulPA能实现精准检测到具有漏洞的程序路径，自动发现潜在的漏洞点。在实验评估中，研究团队基于34个CVE案例构建了检测规则，在其对应的26个开源Java应用上进行了测试。VulPA成功发现了90个新漏洞，在保持23.7%的误报率的同时，显著优于现有主流漏洞检测工具，显示出其在语义复杂漏洞检测领域的强大能力与广泛应用潜力。 ACM国际软件工程基础会议(FSE)是一个国际知名的会议，旨在展示和讨论软件工程领域的最新创新、趋势、经验和挑战。FSE涵盖广泛的软件工程主题，包括但不限于软件开发、软件测试、软件维护、软件安全、人工智能驱动的软件工程等。FSE 2025共收到612篇投稿，最终接收135篇，总接收率22.2%。

2025年6月20—22日，第 16 届国际网构软件会议(Internetware 2025)在挪威特隆赫姆举行，中科天齐团队成员孟海宁博士在会上展示了题为《SLVHound: Static Detection of Session Lingering Vulnerabilities in Modern Java Web Applications》(现代Java Web应用会话滞留漏洞的静态检测)的研究成果，并荣获该会议的 ACM SIGSOFT 杰出论文奖。ACM SIGSOFT杰出论文奖是由ACM SIGSOFT设立的论文奖项，用于奖励软件工程顶级会议上不超过10%的最优秀论文。ACM SIGSOFT 杰出论文奖会话滞留漏洞(Session Lingering Vulnerabilities, SLV)是一种常被忽视的认证问题，它会导致用户在完成敏感认证操作(如登出、密码修改等)后会话仍持续有效。尽管这类漏洞广泛存在且危害严重，却长期缺乏研究关注。团队首次对Web应用中的SLV进行了系统性研究，通过对2020-2023年间330个的认证相关漏洞分布研究揭示了SLV的普遍性和严重性(CVSS 3.0均分7.7，达到高严重性)。检测SLV需要判断认证敏感操作发生后是否过期了对应的已认证会话。SLV属于应用逻辑类漏洞，不同应用的认证敏感操作和会话过期的实现不同，这给静态检测带来了挑战。本研究通过深入分析这72个实际的BOLA漏洞，总结出推断认证敏感操作和会话过期操作的启发式规则，为后续检测奠定了基础。 在研究过程中，团队开发了新型检测工具SLVHound，该工具通过静态分析代码和SQL查询，识别敏感认证操作与会话终止逻辑，进而验证二者是否严格关联——即执行敏感操作后会话是否立即失效。最终在15款主流Web应用上，SLVHound共报告了46个记录，经验证，其中44个确认为真实SLV(包含30个首次披露的漏洞)，获得16个CVE编号。

近日，嘶吼安全产业研究院正式发布《嘶吼2025网络安全产业图谱》，北京中科天齐信息技术有限公司(以下简称：中科天齐)凭借在应用安全领域的技术实力及产品应用能力入选软件供应链安全——静态应用程序安全测试(SAST)领域。此次入选体现了行业对中科天齐技术实力和市场地位的充分认可。嘶吼安全产业研究院凭借深入的调研、专业的分析，全景式展现网络安全产业的最新态势，挖掘潜在发展机遇，旨在为行业从业者提供高价值参考，助力在复杂多变的网络安全领域找准前行方向。 中科天齐“WuKong”作为一款国产自主研发的静态安全测试工具，采用自主专利技术的程序分析引擎，多种创新性的静态分析技术，结合深度学习和人工智能等多种方法，大幅提高了检测工具的功能性能。自定义功能及定制化更好地将工具适配于不同企业的开发流程。未来，中科天齐将继续技术创新优势，为推动网络安全产业发展，构建网络安全生态贡献力量。

近日，国内知名网络安全领域咨询和研究机构安全牛发布第十二版《中国网络安全行业全景图》(以下简称“全景图”)，中科天齐凭借在静态程序分析领域技术创新能力、深度研发能力和产品实际应用能力入选“软件供应链安全-静态安全测试”领域，中科天齐连续多年入选安全牛《中国网络安全行业全景图》，体现了行业对中科天齐实力的高度认可。全景图以用户调研洞察和产业创新发展为依据，对于成熟、标准的产品考量了其市场应用的典型性和代表性，对于新技术产品考量到技术先进性和创新能力。全景图全面覆盖网络安全行业生态，旨在为企事业单位、投资机构及从业者提供精准的产业参考。 中科天齐“WuKong”作为一款国产自主研发的静态安全测试工具，采用自主专利技术的程序分析引擎，多种创新性的静态分析技术，结合深度学习和人工智能等多种方法，大幅提高了检测工具的功能性能。自定义功能及定制化更好地将工具适配于不同企业的开发流程。未来，中科天齐将继续秉持创新驱动战略，深耕前沿技术领域，充分发挥自主创新核心优势，全力助力企业软件安全可控的高质量开发，为筑牢网络安全屏障注入源源不断的创新动能。

根据《中国发明协会关于2025年度“发明创业奖”评选工作的通知》(中发协字〔2025〕6号)要求，现对我单位拟提名2025年度“发明创业奖成果奖”的项目“中科天齐软件源代码安全缺陷检测平台”进行公示，公示期自2025年4月22日至2025年4月28日(7个自然日)。提名单位：北京中科天齐信息技术有限公司项目名称：中科天齐软件源代码安全缺陷检测平台完成人及完成单位：李炼(北京中科天齐信息技术有限公司)提名等级：发明创业奖成果奖项目简介：中科天齐软件源代码安全缺陷检测平台(WuKong)为北京中科天齐信息技术有限公司自有知识产权产品，是一款自主可控的国产化静态代码安全测试软件，可用于检测多种主流语言代码的运行时缺陷、安全漏洞及编码标准规范，可根据需求进行定制化。兼容麒麟、鲲鹏等多种国产化环境。可直接整合到开发流程中，与代码管理仓库，缺陷管理系统进行对接，在不增加研发成本的前提下帮助开发人员降低交付不安全代码的风险。知识产权：序号 专利名称 专利号 法律状况  1基于变量关联规则的缓冲区溢出检测方法 ZL202010012878.2 授权 2一种TensorFlow程序漏洞检测方法、装置及电子设备 ZL202110606581.3 授权公示期内，任何单位和个人对公示的项目有异议，可以以书面形式向北京中科天齐信息技术有限公司进行反映，并提供必要的证明材料。逾期或匿名等不按要求提出的异议不予受理。我单位按有关规定对异议提出者的相关信息予以保护。通讯地址：北京市海淀区知春路甲48号盈都大厦C座三单元10D邮政编码：100086联系电话：17319253265电子邮箱：liuchaofan@tianqisoft.cn北京中科天齐信息技术有限公司 2025年4月22日

中科天齐安全研究团队在Apache Roller开源博客平台发现一个重大高危漏洞，该漏洞可能允许恶意行为者在更改密码后保留未经授权的访问。中科天齐团队在发现漏洞后及时上报给Apache Roller项目维护团队，目前漏洞已被修复，团队成员孟海宁因发现并报告此漏洞获得致谢。该漏洞一经发现便迅速引发了国际网络安全领域媒体的广泛关注与热议。鉴于其潜在风险，我们郑重提醒广大用户，请务必高度重视并及时进行产品升级修复。Apache Roller 是一个多用户博客平台，可以支持数千个博客和用户。它为群组博客提供对主题和模板、内容管理系统、集成搜索和三个权限级别(所有者、编辑者和起草者)的支持。关于漏洞 CVE-2025-24859该漏洞编号为 CVE-2025-24859，CVSS评分为最高危险等级的10.0，是 Apache Roller 近年来出现的第一个严重性漏洞。该漏洞与会话过期时间不足有关，当系统或应用程序在更改密码后无法使现有用户的活动会话失效时，就会出现此漏洞。攻击者可以利用此类会话管理漏洞以多种方式获利。例如，攻击者如果之前通过会话劫持攻击等手段获得了用户会话的访问权限，即使受害者更改了密码，他们仍然可以保持这种未经授权的访问。因为密码更改无效，他们将能够维持对受影响系统的持久性。受影响版本Roller 6.1.4 之前的所有版本。修复方案Apache Roller开源博客平台开发团队已在 6.1.5 版本中修复该漏洞，通过实施集中式会话管理机制，确保密码修改或用户禁用操作会使所有活动会话立即失效。关于中科天齐 北京中科天齐信息技术有限公司由李炼博士于2018年创立。公司安全研究团队专注于程序分析与软件安全领域的前沿研究和产品开发。截至目前，团队已为开源社区发现并报告了数百个严重缺陷，并获得了100多个CVE编号。公司旗下的中科天齐软件源代码安全缺陷检测平台，能够高效检测软件源代码中的运行时缺陷、安全漏洞以及编码标准规范问题。该平台凭借其卓越的性能和精准的检测能力，已广泛应用于IT企业、政府机关、军工企业以及科研院所等多个领域，为软件安全保驾护航。

DevSecOps将开发(Dev)、安全(Sec)和运维(Ops)紧密结合，并将安全检查贯穿于软件开发生命周期(SDLC)的各个阶段。这种方法解决了开发、安全和运维团队之间的脱节问题，能够保障持续集成和持续交付(CI/CD)管道的安全，并生产高质量的软件。随着网络攻击的增加，DevSecOps已经成为一种必要，而不仅仅是一种选择。传统的安全方法由于依赖手动流程，速度较慢，难以应对快速变化的数字环境中的复杂网络威胁。而AI的融入可以显著提升DevSecOps的安全性和效率。当前，AI主要应用于以下：自动化威胁检测：AI工具通过分析代码和提交历史记录来识别安全漏洞和异常行为。这些工具能够持续学习和改进，利用机器学习(ML)算法进行实时模式分析，简化了潜在恶意行为的识别过程。早期识别漏洞意味着开发人员可以立即处理这些问题，显著减少解决时间。改进代码审查：AI可以协助进行自动化代码审查，将代码与安全最佳实践进行对比检查。它能够理解代码的上下文和含义，从而检测出可能被人类审查者或传统静态分析工具遗漏的复杂安全漏洞。自动化安全测试：企业可以利用AI驱动的工具执行静态应用安全测试(SAST)和动态应用安全测试(DAST)，在应用程序部署之前识别安全漏洞。实时监控：AI可以利用ML算法近乎实时地监控应用程序和环境，检测并触发可能表明安全事件的可疑行为警报。随着威胁形势的不断演变，这种监控和管理威胁的能力使得企业能够采取新的主动式事件响应和缓解方法。预测分析：通过分析现有数据和趋势，AI利用预测分析来预测未来的安全威胁。企业可以利用这种前瞻性来加强防御，防止新的攻击向量出现。简化合规：AI可以自动执行安全策略和法规，贯穿整个开发周期。这减少了人为错误，确保始终遵守标准。挑战和限制尽管AI为DevSecOps提供了巨大的潜力，但也存在一些挑战，包括需要可靠的数据来训练模型。此外，AI本身可能会成为安全目标，因此公司必须保持警惕，定期检查其AI系统以确保其效率和防御新风险。DevSecOps中的AI将AI与DevSecOps集成是软件交付管道安全的下一个趋势。AI在威胁检测、预测分析、实时监控和持续合规等方面的应用，将彻底改变SDLC各阶段的安全性。通过在DevSecOps管道中采用AI，组织可以在快速变化的环境中建立强大的安全态势，同时保持竞争优势，快速部署安全的应用程序。AI在DevSecOps中的集成可以解决实际问题，如：勒索软件攻击：AI工具可以观察异常活动，识别表明勒索软件攻击的行为，帮助组织在数据加密之前采取主动措施。零日漏洞检测：使用ML算法，AI可以分析源代码中的模式，预测未知的零日漏洞，从而减少对尚未知晓的威胁的暴露。云设置错误配置：AI可以帮助确定云配置设置，防止潜在的安全威胁和漏洞。 合规自动化：利用AI自动化符合通用数据保护条例(GDPR)或支付卡行业数据安全标准(PCI DSS)等标准的流程。