O Top 10 OWASP 2025 chegou oficialmente, trazendo duas grandes atualizações. Ele reflete como a segurança de software tem se deslocado em direção a riscos complexos e interconectados, como integridade da cadeia de suprimentos e tratamento de erros. Para desenvolvedores e equipes de segurança, entender essas mudanças é essencial para manter as aplicações resilientes.
A OWASP enfatiza que o Top 10 é um documento de conscientização, não um padrão completo. Ele foi projetado para destacar os riscos mais críticos, não para servir como um framework de segurança completo. Para organizações que buscam ir além, a OWASP recomenda o uso de modelos de maturidade e verificação como SAMM (Software Assurance Maturity Model), DSOMM (DevSecOps Maturity Model) e ASVS (Application Security Verification Standard).
Para saber mais sobre o que é o Top 10 OWASP, confira este artigo.
O que mudou no Top 10 OWASP para 2025
A edição de 2025 introduz duas novas categorias e uma consolidação.
- A03: Falhas na Cadeia de Suprimentos de Software expande a categoria de 2021 “Componentes Vulneráveis e Desatualizados,” abrangendo todo o ecossistema de software, incluindo dependências, sistemas de build e infraestrutura de distribuição.
- A10: Tratamento Inadequado de Condições Excepcionais é completamente nova, destacando a importância do tratamento seguro de erros e da resiliência.
- O que era A10:2021: Server-Side Request Forgery (SSRF) foi consolidado em A01:2025 - controle de acesso quebrado
- Enquanto isso, A01: controle de acesso quebrado e A02: configuração de segurança incorreta mantêm suas posições de destaque, mostrando que as práticas de segurança fundamentais continuam críticas.
Em resumo, o OWASP 2025 muda o foco de falhas de código isoladas para fraquezas sistêmicas que abrangem todo o ciclo de vida de desenvolvimento.
O Top 10 OWASP 2025
Abaixo está a lista completa de categorias no Top 10 OWASP 2025, juntamente com um breve resumo de cada.
A03:2025 – Falhas na Cadeia de Suprimentos de Software
O Top 10 OWASP 2025 destaca as Falhas na Cadeia de Suprimentos de Software como um dos riscos mais urgentes na segurança de software moderna. A OWASP agora aponta explicitamente o malware em ecossistemas de software, incluindo pacotes maliciosos, mantenedores comprometidos e processos de build adulterados, como as principais ameaças à segurança de aplicações.
Esses ataques raramente começam em produção. Eles se iniciam na estação de trabalho do desenvolvedor. Ao comprometer dependências ou injetar malware em pacotes amplamente utilizados, atacantes podem obter acesso a ambientes que são inerentemente confiáveis. Uma vez dentro, uma única dependência maliciosa pode se mover através de sistemas de CI, containers e ambientes Cloud em horas, frequentemente sem acionar scanners tradicionais.
A Aikido Security tem acompanhado essa mudança de perto. Ao longo de 2025, identificamos e analisamos vários dos maiores comprometimentos da cadeia de suprimentos, cada um um exemplo claro de A03 na prática:
- Shai Hulud, uma campanha de malware furtiva oculta em pacotes npm que exfiltrava credenciais e tokens através de dependências transitivas.
- S1ngularity, uma operação de confusão de dependência que explorou colisões de nomes e espelhos internos para infiltrar estações de trabalho de desenvolvedores e CI.
- O surto de malware npm de setembro, onde bibliotecas populares como chalk, debug e ansi-regex foram envenenadas e baixadas milhões de vezes antes que o Aikido detectasse e escalasse o comprometimento.
- O trojan React-Native-Aria, que inseriu um payload de acesso remoto em releases legítimas do npm e foi detectado precocemente através da detecção de anomalias do Aikido Intel.
Durante esses incidentes, muitas organizações recorreram ao Aikido para obter inteligência precisa e orientação, usando nossas atualizações para determinar a exposição, validar dependências e responder antes que o dano se espalhasse.
Essa expansão no escopo do OWASP reflete o que muitos líderes de segurança já estão vivenciando. O relatório State of AI in Security & Development 2026 do Aikido descobriu que 1 em cada 3 líderes de segurança perderam riscos devido à má integração entre ferramentas, e 38% relatam lacunas na visibilidade em todo o ciclo de vida de desenvolvimento ou implantação. O resultado é uma lacuna de visibilidade que os atacantes exploram através de cadeias de suprimentos confiáveis.
O Aikido ajuda a fechar essa lacuna. Com o Aikido Intel para feeds de Threat Intelligence em tempo real, o Safe Chain para verificação de pacotes pré-instalação e um grafo de dependência unificado em código, Containers e Cloud, as equipes podem ver exatamente onde as vulnerabilidades se cruzam com a exposição real. O Aikido não apenas detecta pacotes comprometidos, mas também os bloqueia antes que cheguem à produção.
Para muitas organizações, A03 é a categoria mais relevante no Top 10 OWASP 2025 porque reflete como o software é realmente construído e atacado hoje. A cadeia de suprimentos tornou-se o novo perímetro, e o Aikido oferece às equipes a visibilidade, automação e inteligência para defendê-la.
A10:2025 – Tratamento Inadequado de Condições Excepcionais
A categoria mais recente, A10: Tratamento Inadequado de Condições Excepcionais, foca em como os sistemas falham. Tratamento de erros deficiente, falhas lógicas e estados de falha inseguros podem levar à exposição de dados sensíveis ou condições de negação de serviço.
A OWASP observa que muitas dessas fraquezas costumavam ser agrupadas sob “má qualidade de código”, mas agora merecem uma categoria dedicada.
Problemas comuns incluem:
- Mensagens de erro revelando detalhes sensíveis
- Lógica de tratamento de privilégios que falha aberta
- Tratamento de exceções inconsistente
- Erros de memória ou entrada não tratados
Esta categoria reforça a ideia de que software seguro não se trata apenas de prevenir ataques, mas também de falhar de forma segura e previsível quando algo dá errado.
O foco do OWASP em resiliência e falha segura também aborda uma questão cultural mais ampla. O mesmo relatório do Aikido descobriu que desenvolvedores e equipes de segurança frequentemente discordam sobre quem é responsável pelas práticas de codificação segura. Essa falta de clareza frequentemente leva a um tratamento de erros inconsistente ou a testes incompletos, os tipos de falhas que o A10 visa prevenir.
O OWASP também recomenda que as organizações meçam a maturidade de seus programas de segurança de aplicações usando frameworks como SAMM ou DSOMM. O objetivo não é atender a todos os requisitos, mas identificar onde a visibilidade, automação e consistência podem gerar o maior impacto.
Como o Aikido Pode Ajudar
O Top 10 OWASP 2025 destaca a necessidade de visibilidade em todas as camadas do desenvolvimento de software. O Aikido oferece essa clareza às equipes unificando sinais de código, dependências, Containers e infraestrutura Cloud.
- Aikido Intel fornece Threat Intelligence em tempo real, sinalizando pacotes comprometidos e CVEs à medida que surgem.
- Safe Chain, o verificador de pacotes de código aberto do Aikido, verifica dependências npm, yarn e pnpm antes da instalação, bloqueando versões maliciosas.
- Grafos de dependência unificados conectam seu código, Containers e Cloud para mostrar como as dependências transitivas interagem com seus sistemas de produção, reduzindo falsos positivos e revelando caminhos de exploração reais.
- Geração de SBOM ajuda as equipes a visualizar instantaneamente toda a sua cadeia de suprimentos de software, melhorando a transparência e a conformidade.
- Pontuação do Top 10 OWASP oferece uma visão clara de como seu ambiente se compara a cada categoria, com orientações práticas para melhoria.
Aikido ajuda a gerenciar os riscos que o Top 10 OWASP 2025 destaca, fornecendo contexto sobre o que realmente importa e automação para agir sobre eles.
Construindo um Programa de AppSec Moderno
Para estabelecer uma base sólida de AppSec, a OWASP recomenda adotar uma abordagem baseada em risco para seu portfólio de software, criar controles e políticas de segurança reutilizáveis, integrar a segurança em todas as fases do SDLC, investir na educação de desenvolvedores e acompanhar o progresso com métricas. Juntos, esses passos constroem uma cultura onde o desenvolvimento seguro faz parte da prática diária, em vez de um processo separado.
Por Que o Top 10 OWASP 2025 Ainda Importa
O Top 10 OWASP continua sendo um dos recursos mais valiosos para equipes de desenvolvimento e segurança. Não é apenas uma lista de verificação, mas um reflexo de onde os riscos do mundo real estão surgindo. Ao alinhar seus processos de segurança com ele, você pode fortalecer sua supply chain de software, melhorar a qualidade do código e tornar a segurança uma parte natural do desenvolvimento. Para organizações que desejam um padrão mensurável e testável, a OWASP recomenda emparelhar o Top 10 com o Application Security Verification Standard (ASVS), que transforma a conscientização em práticas de segurança verificáveis. Aikido facilita isso mapeando sua cobertura OWASP automaticamente, detectando vulnerabilidades críticas e ajudando você a corrigi-las mais rapidamente.
Analise seu ambiente com Aikido Security hoje para ver como sua stack se compara ao Top 10 OWASP 2025 e onde focar em seguida.
