OWASP Web Application Top 10:2025 覆盖身份认证、权限控制、软件供应链、加密机制等十大风险,核心变化为将依赖漏洞合并为"软件供应链失效"(A03),新增"异常处理不当"(A10),合并访问控制相关风险。防护需重点实施:默认拒绝并服务端统一鉴权(A01)、配置基线与自动化检查(A02)、SBOM依赖管理、密钥隔离(A04),防御注入需代码与数据分离(A05)。设计需威胁建模(A06),控制写入、密钥生命周期及临时文件清理(A08),日志应记录敏感操作及异常请求(A09)。实现需贯穿需求、编码、测试、发布 stages:设计阶段明确数据分级和风险用例,编码使用统一鉴权组件、参数化查询;测试执行越权、异常路径测试;运维建立日志告警与漏洞响应机制。误区包括WAF替代业务逻辑、扫描即安全,正确做法是整合各流程控制与持续监控。