Skip to main content
OWASP top 10 2025 - wat is er veranderd

Van OWASP Top 10:2021 naar 2025

Wat er verandert met de geplande 2025 release en waar draait het echt om? Elke paar jaar brengt OWASP een nieuwe Top 10 uit: een overzicht van de meest voorkomende kwetsbaarheden in webapplicaties wereldwijd. En OWASP is dé standaard waarop beleid gebaseerd wordt.

De vorige versie (OWASP Top 10: 2021) bracht al grote veranderingen. Denk aan de introductie van Insecure Design en het opschonen van oudere categorieën. De aankomende versie, OWASP Top 10: 2025, zet een nog duidelijkere stap: van losse technische fouten naar structurele oorzaken in ontwerp, proces en supply chain.

De officiële publicatie wordt in november verwacht, tijdens OWASP Global AppSec 2025 in Washington D.C. Maar de richting is helder.
Op dit moment (10-11-2025) hebben we het over de officiële release candidate.

Wat blijft in de OWASP bestaan

Sommige risico’s veranderen niet, hoe vaak OWASP de lijst ook vernieuwt.
Broken Access Control blijft bijvoorbeeld op #1. Nog steeds blijkt het regelen van toegangsrechten één van de moeilijkste en meest onderschatte onderdelen van applicatiebeveiliging. Ook Security Misconfiguration blijft, maar schuift op naar plek #2, omdat verkeerd ingestelde componenten, zoals open admin-interfaces, verkeerde permissies of standaardwachtwoorden, nog altijd een van de grootste oorzaken zijn van datalekken. En Cryptographic Failures blijft belangrijk, al zakt het iets in de ranking. Niet omdat het opgelost is, maar omdat andere risico’s nóg dominanter zijn geworden.

Wat verandert er met OWASP 10:2025

OWASP 2025 voegt één heel nieuwe categorie toe en herstructureert een paar bestaande. De belangrijkste bewegingen:

  • Software Supply Chain Failures
    Nieuw in 2025. Deze categorie richt zich op kwetsbaarheden in externe libraries, pakketten en build-processen. Supply chain-aanvallen – zoals de SolarWinds-hack – hebben laten zien hoe één zwakke schakel in een afhankelijkheid duizenden organisaties kan raken. OWASP breidt dit nu expliciet uit naar alles wat met dependencies en build-pipelines te maken heeft.
  • Security Misconfiguration
    Meer nadruk op proces. In 2021 lag de nadruk op fout ingestelde servers of frameworks. In 2025 gaat het breder: misconfiguraties in cloud-omgevingen, CI/CD-tools en containers vallen er nu ook onder.
    Het is niet langer een “beheerdersfout”, maar een structureel probleem in het hele ontwikkelproces.
  • Logging & Alerting Failures
    De categorie Security Logging and Monitoring Failures verandert van naam én focus.
    Waar de 2021-versie vooral over logs ging, benadrukt 2025 juist de noodzaak van bruikbare alerts – meldingen die teams direct kunnen gebruiken om te reageren. Logging zonder alerting heeft immers weinig waarde.
  • Naamwijzigingen en samenvoegingen
    Identification and Authentication Failures heet straks gewoon Authentication Failures.
    Server-Side Request Forgery (SSRF) verdwijnt als losse categorie en valt voortaan onder Broken Access Control.
    Vulnerable and Outdated Components wordt vervangen door Software Supply Chain Failures, wat de reikwijdte flink vergroot.
    Kortom: minder nadruk op wat stuk is en meer aandacht voor waarom het stuk ging.

Van bugs naar oorzaken

In 2021 maakte OWASP al een grote stap: van concrete kwetsbaarheden (zoals XSS of SQL Injection) naar bredere categorieën als Insecure Design en Security Misconfiguration.
De 2025-versie trekt die lijn door.

OWASP noemt het zelf een holistic view of software assurance.
Waar het vroeger ging om “deze code bevat een fout”, gaat het nu om “dit proces maakt fouten onvermijdelijk”.

Dat betekent dat ontwikkelaars en securityspecialisten breder moeten kijken:

  • Hoe worden libraries geselecteerd en geverifieerd?
  • Wie beheert configuraties in productie?
  • Is de cloudomgeving standaard veilig ingericht, of hangt alles af van individuele keuzes?
  • Hoe kunnen teams kwetsbaarheden voorkomen in plaats van achteraf detecteren? 

Wat betekent de nieuwe OWASP in de praktijk?

Voor organisaties verandert er meer dan alleen de namen in een lijst.
Beveiliging schuift nóg nadrukkelijker op naar het ontwikkelproces zelf.

Dit betekent dus niet alleen meer technische kennis, maar om andere vaardigheden:

Security by design
kwetsbaarheden voorkomen in de ontwerpfase.

Automated testing & monitoring
niet handmatig logfiles nalopen, maar continu meten.

Supply chain awareness
weten welke componenten je gebruikt, en wat er gebeurt als één daarvan kwetsbaar blijkt.

Voor ontwikkelaars, testers en security-analisten betekent het dus dat je moet begrijpen hoe alles samenhangt. Kennis van losse exploits is niet meer genoeg. OWASP 2025 verschuift van bugs naar processen, van incidenten naar ontwerp, en van symptoombestrijding naar structurele veiligheid.

Waarom dit relevant is voor jou

Of je nu werkt in development, SOC, compliance of beleid, de OWASP Top 10 laat zien dat we niet alleen achteraf de gaten moeten dichten, maar vooraf ervoor moeten zorgen dat we fouten voorkomen.
We kijken niet alleen meer naar symptomen, maar we pakken de oorzaak aan!

OptiSec bereidt je voor op OWASP 2025

Bij OptiSec passen we onze trainingen voortdurend aan op de nieuwste ontwikkelingen.
Zo ook met onze OWASP Top 10 masterclass. We nemen de inzichten uit OWASP Top 10: 2025 mee. Zo leer je niet alleen kwetsbaarheden herkennen, maar ook begrijpen waarom ze ontstaan en hoe je ze structureel voorkomt.

Wil je weten hoe jij of je team zich kan voorbereiden op OWASP 2025?
Reserveer een plek in onze klassikale training of boek een OWASP incompanytraining.

OWASP Top 10