？？？

ロボ子、OWASP Top 10:2025が発表されたのじゃ！

？？？

博士、それはセキュリティ界隈ではビッグニュースですね！

？？？

そうじゃろう！今回のTop 1は「A01:2025 - Broken Access Control」で、テストされたアプリの平均3.73%に脆弱性があったらしいぞ。

？？？

相変わらずアクセス制御の問題は深刻ですね。SSRFがこのカテゴリに統合されたのも納得です。

？？？

ふむ、そして「A02:2025 - Security Misconfiguration」が5位から2位にランクアップじゃ。設定ミスは怖いぞ！

？？？

デフォルト設定のまま運用したり、不要な機能が有効になっていたりするケースが多いですからね。

？？？

「A03:2025 - Software Supply Chain Failures」は、脆弱なコンポーネントの問題を拡張したものじゃな。コミュニティの懸念事項No.1らしいぞ。

？？？

ソフトウェアサプライチェーン全体を考慮する必要があるということですね。依存関係の管理は重要です。

？？？

「A04:2025 - Cryptographic Failures」は順位を下げたみたいじゃが、それでも3.80%のアプリに問題があるとは…暗号化も油断できんぞ！

？？？

暗号化アルゴリズムの選択や鍵管理を誤ると、大きなリスクになりますからね。

？？？

そして、今回から「A10:2025 - Mishandling of Exceptional Conditions」という新しいカテゴリが追加されたのじゃ！

？？？

例外処理の不備に注目が集まるようになったんですね。エラーメッセージの表示なども気をつけないと。

？？？

今回のOWASP Top 10は、280万以上のアプリケーションからデータを集めて作られたらしいぞ。すごい数じゃ！

？？？

それだけのデータがあれば、かなり信頼性が高いですね。私たちの開発にも役立てていきたいです。

？？？

そうじゃな！リリース候補は2025年11月6日に公開されたみたいじゃ。みんなもチェックするのじゃ！

？？？

はい、博士！ところで、OWASP Top 10を全部覚えるための語呂合わせとかってありますか？

？？？

うむ…「アクセス、設定、供給、暗号、注入、設計、認証、完全性、ログ、例外」…あっ！「アクセス、設定、供給が暗号を注入し、設計を認証、完全なログで例外を処理！」…どうじゃ？

？？？

ちょっと無理やりすぎますね…

？？？

まあ、セキュリティ対策は、完璧じゃなくても、少しでも進めることが大切なのじゃ！