Owasp Foundation zet gaten in softwaresupplychains voor het eerst in top drie

In dit artikel:

De Owasp Foundation heeft in de geactualiseerde Top Ten van applicatierisico’s (editie 2025) voor het eerst kwetsbaarheden in softwaresupplychains als eigen categorie opgenomen; die staat op plek drie. De nieuwe editie verschijnt vier jaar na de vorige en reflecteert veranderende risico’s in moderne ontwikkelketens. Supplychain‑issues slaan op problemen in gebruikte componenten, libraries, packages en tools — kortom alle afhankelijkheden en de build- en distributielagen waar applicaties op rusten. Owasp zegt op basis van CVE‑data dat zulke incidenten nog relatief zeldzaam zijn, maar dat de mogelijke impact groot is.

Bovenaan de lijst blijft kapotte toegangscontrole (broken access control) staan: fouten waardoor onbevoegden toegang krijgen tot applicaties of data, bijvoorbeeld door teveel toegekende rechten of onvoldoende controles voor accounts en API’s. Nieuw op nummer twee staat security‑configuratiefouten: onjuiste of onveilige instellingen die ontstaan nu software steeds meer en fijnmaziger configureerbaar is — vaak dynamisch of automatisch aangepast — wat de kans op misconfiguraties vergroot.

De wijziging benadrukt voor ontwikkelaars, beheerders en leveranciers dat aandacht verlegd moet worden van alleen individuele bugs naar de hele leveringsketen en configuratiebeheer. Praktische gevolgen zijn strengere dependency‑audits, betere build‑beveiliging en routinematige controle van configuraties en toegangsrollen.