Top 10 OWASP 2025: Lista Oficial, Mudanças e o que os Desenvolvedores Precisam Saber

O Top 10 OWASP chegou oficialmente, trazendo duas grandes atualizações. Ele reflete como a segurança de software mudou para riscos complexos e interligados, como integridade da cadeia de suprimentos e tratamento de erros. Para desenvolvedores e equipas de segurança, compreender essas mudanças é essencial para manter as aplicações resilientes.

A OWASP enfatiza que o Top 10 é um documento de conscientização, não um padrão completo. Ele foi projetado para destacar os riscos mais críticos, não para servir como uma estrutura de segurança completa. Para organizações que desejam ir além, a OWASP recomenda o uso de modelos de maturidade e verificação, como SAMM (Software Assurance Maturity Model), DSOMM (DevSecOps Model) e ASVS (Application Security Verification Standard).

Para saber mais sobre o que Top 10 OWASP o Top 10 OWASP , consulte este artigo.

O que mudou no Top 10 OWASP 2025

A edição de 2025 introduz duas novas categorias e uma consolidação.

• A03: Falhas na cadeia de fornecimento de software expande a categoria de 2021 “Componentes vulneráveis e desatualizados”, abrangendo todo o ecossistema de software, incluindo dependências, sistemas de compilação e infraestrutura de distribuição.
  
  
• A10: O tratamento incorreto de condições excecionais é completamente novo, destacando a importância do tratamento seguro de erros e da resiliência.
  ‍
• O que era A10:2021: Server-Side Request Forgery (SSRF) foi consolidado em A01:2025 - controle de acesso quebrado
  ‍
  
• Entretanto, A01: controle de acesso quebrado e A02: configuração de segurança incorreta mantêm as suas posições de destaque, mostrando que as práticas fundamentais de segurança continuam a ser críticas.

Em suma, o OWASP 2025 muda o foco de falhas isoladas no código para fraquezas sistémicas que abrangem todo o ciclo de vida do desenvolvimento.

Os Top 10 OWASP

Abaixo está a lista completa das categorias do Top 10 OWASP , juntamente com um breve resumo de cada uma delas.

A03:2025 – Falhas na cadeia de fornecimento de software

O Top 10 OWASP destaca as falhas na cadeia de fornecimento de software como um dos riscos mais urgentes na segurança de software moderna. A OWASP agora aponta explicitamente o malware nos ecossistemas de software, incluindo pacotes maliciosos, mantenedores comprometidos e processos de compilação adulterados, como as principais ameaças à segurança das aplicações.

Esses ataques raramente começam na produção. Eles começam na estação de trabalho do programador. Ao comprometer dependências ou injetar malware em pacotes amplamente utilizados, os invasores podem obter acesso a ambientes que são inerentemente confiáveis. Uma vez dentro, uma única dependência maliciosa pode se mover por sistemas de CI, contentores e ambientes de nuvem em questão de horas, muitas vezes sem acionar os scanners tradicionais.

Aikido observou essa mudança de perto. Ao longo de 2025, identificámos e analisámos várias das maiores violações da cadeia de abastecimento, cada uma delas um exemplo claro da A03 na prática:

• Shai Hulud, uma campanha de malware furtiva escondida em pacotes npm que exfiltrava credenciais e tokens por meio de dependências transitivas.
• S1ngularity, uma operação de confusão de dependências que explorava colisões de nomes e espelhos internos para se infiltrar nas estações de trabalho dos programadores e na CI.
• O surto de malware npm em setembro, em que bibliotecas populares como chalk, debug e ansi-regex foram contaminadas e baixadas milhões de vezes antes que Aikido e escalasse a violação.
• O trojan React-Native-Aria, que inseriu uma carga útil de acesso remoto em versões legítimas do npm e foi detetado precocemente através detecção de anomalias Aikido .

Durante esses incidentes, muitas organizações recorreram à Aikido informações precisas e orientação, usando as nossas atualizações para determinar a exposição, validar dependências e responder antes que os danos se espalhassem.

Esta expansão no âmbito da OWASP reflete o que muitos líderes de segurança já estão a vivenciar. O relatório State of AI in Security & Development 2026 , Aikido, descobriu que 1 em cada 3 líderes de segurança não identificou riscos devido à integração deficiente entre ferramentas, e 38% relatam lacunas na visibilidade ao longo do ciclo de vida de desenvolvimento ou implementação. O resultado é uma lacuna de visibilidade que os invasores exploram por meio de cadeias de fornecimento confiáveis.

Aikido preencher essa lacuna. Com Aikido para feeds de ameaças em tempo real, o Safe Chain para verificação de pacotes pré-instalados e um gráfico de dependências unificado entre código, contentores e nuvem, as equipas podem ver exatamente onde as vulnerabilidades se cruzam com a exposição real. Aikido só deteta pacotes comprometidos, como também os bloqueia antes que cheguem à produção.

Para muitas organizações, A03 é a categoria mais relevante no Top 10 OWASP , pois reflete como o software é realmente construído e atacado atualmente. A cadeia de suprimentos tornou-se o novo perímetro, e Aikido às equipas a visibilidade, automação e inteligência necessárias para defendê-la.

A10:2025 – Mau uso de condições excepcionais

A categoria mais recente, A10: Tratamento inadequado de condições excepcionais, concentra-se em como os sistemas falham. O tratamento inadequado de erros, falhas lógicas e estados de falha inseguros podem levar à exposição de dados confidenciais ou a condições de negação de serviço.

A OWASP observa que muitas dessas vulnerabilidades costumavam ser agrupadas sob o título «má qualidade do código», mas agora merecem uma categoria dedicada.

Problemas comuns incluem:

• Mensagens de erro que revelam detalhes confidenciais
  
  
• Lógica de tratamento de privilégios que falha ao abrir
  
  
• Tratamento inconsistente de exceções
  
  
• Erros de memória ou entrada não tratados
  
  

Esta categoria reforça a ideia de que software seguro não se resume apenas a prevenir ataques, mas também a falhar de forma segura e previsível quando algo corre mal.

O foco da OWASP na resiliência e na falha segura também aborda uma questão cultural mais ampla. O mesmo Aikido descobriu que os programadores e as equipas de segurança frequentemente discordam sobre quem é responsável pelas práticas de codificação segura. Essa falta de clareza muitas vezes leva a um tratamento inconsistente de erros ou testes incompletos, os tipos de falhas que a A10 visa evitar.

A OWASP também recomenda que as organizações avaliem a maturidade dos seus programas de segurança de aplicações utilizando estruturas como SAMM ou DSOMM. O objetivo não é cumprir todos os requisitos, mas identificar onde a visibilidade, a automatização e a consistência podem ter o maior impacto.

Como Aikido ajudar

O Top 10 OWASP destaca a necessidade de visibilidade em todas as camadas do desenvolvimento de software. Aikido essa clareza às equipas, unificando sinais de código, dependências, contentores e infraestrutura em nuvem.

• Aikido fornece Threat Intelligence em tempo real, sinalizando pacotes comprometidos e CVEs assim que eles aparecem.
  
  
• Safe Chain, o verificador de pacotes de código aberto Aikido, verifica as dependências npm, yarn e pnpm antes da instalação, bloqueando versões maliciosas.
  
  
• Gráficos de dependência Gráficos de dependências conectam o seu código, contentores e nuvem para mostrar como as dependências transitivas interagem com os seus sistemas de produção, reduzindo falsos positivos e revelando caminhos de exploração reais.
  
  
• SBOM ajuda as equipas a visualizar instantaneamente toda a sua cadeia de fornecimento de software, melhorando a transparência e a conformidade.
  
  
• Top 10 OWASP oferece uma visão clara de como o seu ambiente se sai em cada categoria, com orientações práticas para melhorar.
  
  

Aikido a gerir os riscos apontados pelo Top 10 OWASP , fornecendo contexto sobre o que é importante e automação para agir sobre isso.

Criando um programa moderno de segurança de aplicações

Para estabelecer uma AppSec sólida AppSec , a OWASP recomenda adotar uma abordagem baseada no risco para o seu portfólio de software, criar controlos e políticas de segurança reutilizáveis, integrar a segurança em todas as fases do SDLC, investir na formação de programadores e acompanhar o progresso com métricas. Juntas, essas etapas criam uma cultura em que o desenvolvimento seguro faz parte da prática diária, em vez de ser um processo separado.

Por que o Top 10 OWASP ainda é importante

O Top 10 OWASP um dos recursos mais valiosos para as equipas de desenvolvimento e segurança. Não é apenas uma lista de verificação, mas um reflexo de onde os riscos reais estão a surgir. Ao alinhar os seus processos de segurança com ele, pode fortalecer a sua cadeia de fornecimento de software, melhorar a qualidade do código e tornar a segurança uma parte natural do desenvolvimento. Para organizações que desejam um padrão mensurável e testável, a OWASP recomenda combinar o Top 10 com o Padrão de Verificação de Segurança de Aplicações (ASVS), que traduz a consciencialização em práticas de segurança verificáveis. Aikido isso ao mapear automaticamente a sua cobertura OWASP, detetar vulnerabilidades críticas e ajudá-lo a corrigi-las mais rapidamente.

Analise o seu ambiente com Aikido hoje mesmo para ver como a sua pilha se compara ao Top 10 OWASP e onde concentrar os seus esforços a seguir.

‍