Die OWASP Top 10 2025 sind raus – vier Jahre nach der letzten Liste. Und ehrlich gesagt: Es ist ein bisschen traurig, dass sich so wenig verändert hat. Neun von zehn Kategorien kennen wir bereits. Aber die eine neue? Die hat es in sich.
Christian Wenz im Interview auf der .NET Developer Conference, warum Supply Chain Security jetzt die Megakategorie ist: Es geht längst nicht mehr nur um veraltete Dependencies. Die komplette CI/CD-Pipeline, Infrastruktur, jedes beteiligte System – überall kann was passieren. Und die npm-Vorfälle der letzten Wochen zeigen: Das ist kein theoretisches Risiko, sondern knallharte Realität.
Aber hier kommt der spannende Teil: Es geht nicht nur um neue Bedrohungen. Klassiker wie Injection und Broken Access Control bleiben uns erhalten – aus gutem Grund. Cross-Site Scripting wird unterschätzt, weil immer mehr Apps JavaScript verwenden. Und Broken Access Control? Mittlerweile so breit (40+ CWEs!), dass praktisch jedes Zugriffsproblem da reinpasst.
Und genau da zeigt sich, warum Security by Design nicht erst beim Go-Live relevant ist. Christian setzt auf Threat Modeling – mag langweilig klingen, aber es ist verdammt effektiv. Sicherheit darf kein Kostenfaktor sein, sondern muss von Anfang an integraler Bestandteil der Projektplanung werden.
Die gute Nachricht für .NET-Entwickler:innen? ASP.NET Core macht vieles schon richtig. HTML-Encoding by Default, solide Identity-Defaults und in .NET 10 sogar Passkey-Support out of the Box. Die Grundlage stimmt – der Rest ist Wissens- und Skillsaufbau.
Klingt interessant? Dann schau das vollständige Interview an und erfahre, welche neuen Themen Christian für die OWASP Top 10 2029 prognostiziert.
Security-Bewusstsein wird nicht weniger wichtig – im Gegenteil.
