459/68 (IT) ประจำวันพุธที่ 12 พฤศจิกายน 2568
OWASP ได้ประกาศอัปเดตรายการ 10 อันดับความเสี่ยงด้านความปลอดภัยของเว็บแอปพลิเคชัน (OWASP Top 10) ประจำปี 2025 ซึ่งถือเป็นการปรับปรุงครั้งใหญ่นับตั้งแต่ปี 2021 โดยการเปลี่ยนแปลงครั้งนี้สะท้อนให้เห็นถึงภาพรวมภัยคุกคามในปัจจุบันที่เปลี่ยนไปอย่างมีนัยสำคัญ โดยรายการใหม่นี้เน้นย้ำถึงความเสี่ยงที่เกิดจาก Software Supply Chain และจุดอ่อนในเชิงการออกแบบระบบ มากกว่าการมุ่งเน้นเพียงแค่ข้อผิดพลาดในการเขียนโค้ดแบบดั้งเดิม ซึ่งเป็นการส่งสัญญาณให้ผู้ดูแลระบบความปลอดภัยต้องหันมาบูรณาการแนวทางปฏิบัติระหว่างการรักษาความปลอดภัยแอปพลิเคชัน การตรวจสอบ Supply Chain และความยืดหยุ่นในการปฏิบัติงานให้มากยิ่งขึ้น
การเปลี่ยนแปลงที่น่าจับตามองที่สุดในครั้งนี้คือ การยกระดับหมวดหมู่ Software Supply Chain Failures ขึ้นมาอยู่อันดับที่ 3 ซึ่งเป็นการขยายขอบเขตจากเดิมที่เน้นเพียงการใช้ส่วนประกอบที่ล้าสมัย (Vulnerable and Outdated Components) เพื่อให้ครอบคลุมถึงความล้มเหลวในกระบวนการซอฟต์แวร์ที่กว้างขึ้น ซึ่งในขณะเดียวกัน Security Misconfiguration หรือการตั้งค่าความปลอดภัยที่ผิดพลาด ได้กระโดดจากอันดับที่ 5 ขึ้นมาอยู่ในอันดับที่ 2 เนื่องจากพบว่าเป็นสาเหตุของการถูกโจมตีที่แพร่หลายมากขึ้น และในทางกลับกัน ช่องโหว่คลาสสิกอย่าง Injection และ Cryptographic Failures มีอันดับลดลง ซึ่งสะท้อนให้เห็นว่าองค์กรส่วนใหญ่มีพัฒนาการในการป้องกันช่องโหว่เหล่านี้ได้ดีขึ้น
ในมุมมองของผู้เชี่ยวชาญจาก Keeper Security ระบุว่าการจัดอันดับใหม่นี้ชี้ให้เห็นว่าต้นเหตุของความล้มเหลวด้านความปลอดภัยในยุคปัจจุบัน มักไม่ได้เกิดจากบั๊กในซอฟต์แวร์เพียงอย่างเดียว แต่เกิดจากความซับซ้อนของระบบและกระบวนการเร่งพัฒนาเทคโนโลยีอย่างรวดเร็ว องค์กรจึงจำเป็นต้องปรับเปลี่ยนมุมมองจากการไล่แก้ไขปัญหา (Patching) มาเป็นการบริหารจัดการความเสี่ยงเชิงระบบ โดยสร้างความมั่นใจด้านความปลอดภัยให้ครอบคลุมตลอดทั้งวงจรการพัฒนาซอฟต์แวร์ (Software Lifecycle) ตั้งแต่ขั้นตอนการออกแบบ การจัดการโค้ด ไปจนถึงสภาพแวดล้อมในการใช้งานจริง เพื่อรับมือกับภัยคุกคามที่อยู่ในโครงสร้างของเทคโนโลยีสมัยใหม่
แหล่งข่าว https://www.darkreading.com/application-security/owasp-highlights-supply-chain-risks-new-top-10
