OWASP十大安全趨勢榜單會根據當權安全形式不時對內容進行調整，旨在更好地反映現實情況的具體變化。

而作為內容調整的核心議題，可以看到越來越多從業者意識到應用程序安全性必須立足于軟件開發流程。

應用程序與API的安全威脅格局正在不斷變化，促成這種演變的關鍵性因素則包括新型技術的快速普及(包括云計算、容器與API)、軟件開發流程(如敏捷開發與DevOps)的加速與自動化、第三方庫及框架的爆炸式增長外加攻擊者自身的技術水平提升。這些因素的出現往往會增加分析應用程序與API的難度，同時亦給安全格局造成深遠影響。

因此，OWASP十大安全趨勢榜單亦需要進行持續更新。

OWASP十大安全趨勢榜單變化解析-E安全

OWASP Top 10榜單根據威脅出現的頻率、嚴重程度等進行添加、刪除、以及合并

根據OWASP Top 10原作者兼Contrast Security公司創始人杰夫-威廉姆斯(Jeff Williams)所言，多年來根據威脅出現的頻率、嚴重程度等不斷對榜單中的內容進行添加、刪除、合并與拆分，不過今年的榜單在內容上與2003年的版本非常相似。在2017年發布的最新版本中，具體變化列舉如下：

一、重新合并：

2013-A4：不安全對象直接引用;

2013-A7：功能層級訪問控制缺失。

以上二者合并為2017-A4：訪問控制問題。

早在2007年，OWASP曾將訪問控制問題拆分為這兩項，旨在分別對應數據與功能層面的訪問控制隱患。但在新版本中，二者再度被合并為一體。

二、新添加了2017-A7：攻擊檢測與預防不足：

多年以來，OWASP一直在考慮添加保護能力不足一項以反映現有體系在面對自動化攻擊活動時的無力。基于數據收集結果，我們發現大多數應用程序及API都缺乏對手動及自動化攻擊行為進行檢測、預防及響應的基本功能。應用程序與API擁有者還需要有能力快速部署安全補丁，從而預防攻擊活動。

三、新添加了2017-A10：未受保護的API

現代應用程序與API通常涵蓋富客戶端應用程序，包括瀏覽器中的JavaScript與移動應用等需要接入某種API(SOAP/XML、REST/JSON、RPC、GWT等)的場景。這些API通常未受保護且包含大量安全漏洞。為了確保相關企業能夠注意到這一重要新興風險，于是添加了這一項。

四、移除了2013-A10：未經驗證的重定向與轉發

OWASP在2010年的版本中增加了這一類別，旨在提高行業對此問題的關注。然而數據顯示，這項問題并不像預期中那樣普遍存在。在該問題在榜單上駐留了兩個版本之后，本次將被剔除。

榜單變化的具體原因：

今年OWASP Top 10的變化，雖然“應用程序拒絕服務”與“未經驗證的重新定向與轉發”等問題仍然存在，但這次由于出現頻率顯著下降和危害及嚴重程度降低而被移出榜單。

攻擊保護不足”被添加到第7的位置，當前排名第4的“不安全直接對象引用”和排名第7的“功能級訪問控制缺失”合并之后的分類被命名為“失效的訪問控制”并且排名第四，這等于說“功能級訪問控制缺失”的問題越來越突出。

如下圖：

OWASP十大安全趨勢榜單變化解析-E安全

在杰夫看來，2017年的榜單反映了自2013年至今整個軟件行業所出現的現代高速軟件開發趨勢。盡管仍有許多漏洞持續存在，但對于現代軟件而言，API的加入與攻擊保護應當被作為高優先級事務加以關注。

杰夫認為應用程序安全，必須立足于軟件開發流程制定解決方案。軟件開發者能夠直接利用現有平臺中提供的強大功能，但若不采取有效的預防措施，攻擊者根據開發則的這些習慣必將找到新的突破點并加以利用。作為開發者，我們不僅需要建立防御體系，同時亦肩負著應對及阻止攻擊活動的責任。對于這一切，開發者絕不能繼續坐視安全漏洞肆虐。

備注：這份Top 10榜單著眼于各類高風險范疇，且具體范疇并未經過嚴格的無交集分類。其中部分風險范疇與攻擊者相關，其它一些則可能涉及安全漏洞、防御機制或者現有資產。各類組織機構可以根據這個榜單制定更加符合實際的應對措施，從而消除此類安全隱患。