Owasp Foundation zet gaten in softwaresupplychains voor het eerst in top drie

Kwetsbaarheden in softwaresupplychains verschijnen voor het eerst als categorie in de geactualiseerde Owasp-lijst van securityrisico's. Deze nieuwe categorie staat op de derde plaats, voorafgegaan door kapotte toegangscontrole op een en securityconfiguratiefouten op twee.

De vernieuwde top tien van applicatierisico's van het Open Worldwide Application Security Project komt vier jaar na de vorige editie, schrijft The Register. Nieuw in de editie voor 2025 is de categorie van kwetsbaarheden in de supplychains voor software. Dit omvat kwetsbaarheden in componenten als packages, tools en library's die ontwikkelaars gebruiken in de software die zij maken en leveren aan hun afnemers.

Deze categorie is een uitbreiding van een oudere categorie: kwetsbare en verouderde componenten. Moderne ecosystemen voor software zijn door afhankelijkheden, buildsystemen en distributie-infrastructuren veel complexer en daarmee kwetsbaarder geworden, aldus de Owasp Foundation. Op basis van de exploit- en impactscore van kwetsbaarhedeninventarisatiesysteem CVE meldt de organisatie dat deze nieuwe categorie tot op heden relatief weinig incidenten kent, maar dat de gevolgen ervan wel erg groot zijn.

Het grootste beveiligingsrisico in de Owasp-lijst is nog altijd kapotte toegangscontrole, waardoor ongeautoriseerde gebruikers toch toegang kunnen krijgen tot applicaties en data. Hieronder vallen zaken als te veel rechten toekennen aan gebruikersaccounts en -rollen, maar ook tekortschietende controles voor onder meer accounts en api's.

Nieuw op nummer twee is de categorie configuratiefouten op het gebied van ict-beveiliging, waardoor de beveiliging van een applicatie of systeem niet goed is ingesteld. Dit komt volgens de Owasp Foundation tegenwoordig vaker voor, doordat software steeds meer en steeds fijnmaziger valt te configureren. Bovendien steunen gedrag en gebruik van software ook in toenemende mate op flexibele – en soms automatisch aangepaste – configuratie.

Door Jasper Bakker

Nieuwsredacteur

Feedback • 12-11-2025 12:31 2

12-11-2025 • 12:31

2

Lees meer

19 sep 2025

Wat zijn npm-packages en waarom richten hackers zich erop?

48
Python-stichting trekt subsidieaanvraag VS in door diversiteitsverbod
Python-stichting trekt subsidieaanvraag VS in door diversiteitsverbod Nieuws van 28 oktober 2025
Hackers kunnen door kwetsbaarheid in Rust-library's op afstand code uitvoeren
Hackers kunnen door kwetsbaarheid in Rust-library's op afstand code uitvoeren Nieuws van 22 oktober 2025
GitHub gaat beveiliging npm-packages versterken met verplichte 2fa en meer
GitHub gaat beveiliging npm-packages versterken met verplichte 2fa en meer Nieuws van 23 september 2025
Meer producten en artikelen
Software development Netwerk en systeembeheer Marktontwikkelingen Politiek en recht Applicatie Beveiliging Cybersecurity Security Software testing

Reacties (2)

-Moderatie-faq
2
2
1
0
0
1
Wijzig sortering

Sorteer op:

Weergave:
Orangelights23 12 november 2025 13:32
Mooi lijstje, maar ook afleidend. Ik pentesten die ik door mijn teams laat uitvoeren bij klanten, merk je dat organisaties vooral de OWASP top 10 kennen (met geluk). Dit betekent dat als er kwetsbaarheden geïdentificeerd worden die niet in de lijst staan, organisaties niet altijd de volledige context hebben om hiermee om te gaan. We bieden de context uiteraard in het rapport, maar zelfs dan zie je dat organisaties er niet altijd mee uit de voeten kunnen. Ik zie helaas wat commerciële partijen die daarom alleen op de top 10 scannen, en hoewel dat uiteraard risicogebaseerd is, kun je dat niet rijmen met de enorme tarieven die ze vragen.
Reageer
gamezfreak @Orangelights2312 november 2025 14:17
Alles wat met het internet verbonden moet worden, heeft kwetsbaarheden inzitten en niet altijd zijn er updates voor. Met sommige apparaten vraag ik mij af, waarom ze überhaupt aan het internet moeten hangen, o.a. wasmachines, koffie automaten, babyfoons, ovens, etc. Dat is gemakzucht anno 2025, alles aan het internet aanhangen, zonder na te denken of zoiets eigenlijk erop moet komen. Los van home automation om bijv. je cv-ketel / blokverwarming / airco te bedienen of om je lichten te bedienen, heb ik geen andere reden om andere IoT devices aan het internet te hangen. Zeker als het om devices gaat, waarbij je eigenlijk al weet dat je geen ondersteuning hebt (ehem, spullen van Action en AliExpres, want het moet niet veel kosten en het werk doen). Daarnaast willen mensen eenvoud hebben, wat weer ten koste gaat aan security. Veel mensen snappen het concept van (zombie) botnets niet en het is vrij lastig om aan mensen uit te leggen wat het is, als ze er zelf geen verstand van hebben.

Het is leuk dat Rjiksoverheid nieuwe voorlichtingscampagne doet, maar het heeft vrij weinig zin als mensen niet de moeite nemen om te kijken of hun spullen wel goed zijn.

V.w.b. cybersecurity wil je de 80/10/10 regel aanhouden: 80% zijn script kiddies en/of mensen die weinig kennis van hacken hebben, 10% zijn de professionals die zich ermee bezighouden (zowel white hat als black hat) en de andere 10% zijn de elites, die hun eigen malicious codes schrijven en op die manier binnenkomen, vaak gebruiken zij methodieken die nog niet bekend zijn (zero day) of hebben zij een specifieke target waar zij veel informatie over beschikken, dit kan zowel hard- als software zijn.

"Attack is the best form of defence".
Reageer


Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq