A03:2025 – Eșecuri în lanțul de aprovizionare cu software
Software Supply Chain Failures
Eșecurile în lanțul de aprovizionare cu software se referă la compromitere care apare în sau în întregul ecosistem al dependențelor de software, sistemelor de build, și infrastructurii de distribuție. Aceasta este o expansiune a conceptului de componente vulnerabile în OWASP 2021.
A03:2025 este o categorie nouă în OWASP 2025, creată din necesitatea de a acoperi riscurile emergente legate de compromiterea lanțului de aprovizionare. A fost votată în mod copleșitor ca o preocupare principală în sondajul comunității. Această categorie are cea mai mare medie a scorurilor de exploit și impact din CVE-uri.
1. Pachet npm Compromis
Un pachet popular pe npm este preluat și versiunea nouă conține cod malware care fură credențiale.
2. Bibliotecă JavaScript cu Vulnerabilitate CVE
O bibliotecă largă utilizată nu a mai fost actualizată și conține o vulnerabilitate RCE (Remote Code Execution) critică.
3. Pipeline CI/CD Compromis
Acun atacator obține acces la pipeline-ul CI/CD și injectează cod malware direct în artefactele compilate.
4. Dependență Typosquatting
Un atacator crează un pachet cu un nume similar unei biblioteci populare (ex: "lodsh" în loc de "lodash") și o publică pe npm.
5. Compromisiune a Tokenelor Accesului Pipeline CI/CD
Un token de acces GitHub/GitLab lăsat în log-urile de build public permite unui atacator să injecteze cod malewise direct în repo și să compromită software-ul pe zeci de mii de mașini.
6. Container Image Poisoning
O imagine Docker publică a unui tool popular este compromisă și reuploaded pe Docker Hub. Oricine trage această imagine primește malware.