延迟的原因是Web T10几乎没有变化。正如Web T10 项目负责人 Dave Wichers 在 2015 年 6 月 30 日所说：

从历史上看，我们每 3 年产生一个新的 OWASP Top 10，因为这似乎平衡了 AppSec 市场变化的节奏，每个人所做的所有工作都将他们的工具/流程/其他事物映射到 OWASP Top 10 的每个版本，以及制作它所需的努力。自 2004 年（即 2007/2010/2013）以来，我们每三年生产一个新版本，因此 2016 年的新版本即将发布。（绝对不会在 2015 年发生）。

然而，我们一直在考虑 2016 年发布的 Top 10 中可能会发生什么变化，我们实际上并不认为它会发生太大变化，如果有的话，这实际上有点令人难过。根据我们需要收集和处理的漏洞流行统计数据，我怀疑某些前 10 项可能会上升或下降，但我怀疑任何新的漏洞类型是否会进入前 10 名。

因此，鉴于我们预计该列表不会发生任何实质性变化，该项目已决定将下一次更新推迟到 2017 年版本。

这张来自2013 T10 发行说明的表格展示了微小的变化： 这些变化主要是由于重新考虑如何对原始数据进行分类，而不是由于数据的重大变化。

一些人假设创建 T10 的努力程度是推迟它的一个因素。虽然工作量很大，但我认为这不是主要因素。Web T10 是 OWASP 最受认可的项目，并且总是有很多志愿者（我为 2007 年、2010 年和 2013 年的志愿者做出了贡献）。

至于移动应用程序是否会发生同样的事情，我认为在不久的将来不太可能发生这种情况。移动技术仍处于起步阶段，并且会发生快速变化。

请注意，OWASP Top 10 已于 2017 年更新。

我在OWASP Top 10: 2013 vs. 2017 上写过它。

tldr：

今年增加了三个新风险：XML 外部实体 (XXE)、不安全的反序列化以及日志记录和监控不足。

今年的前 10名中删除了两项：跨站点请求伪造 (CSRF) 和未经验证的重定向和转发。

2013 年报告中的两个风险（不安全的直接对象引用和缺少功能级别访问控制）合并为一个风险：访问控制损坏。

他们不会每年更新它，它是由志愿者在业余时间完成的，因此更新可能很慢，因为它非常全面并且需要大量工作。但是，他们目前正在努力在今年对其进行更新，并要求人们向其提交数据。

OWASP Top 10 项目正在努力再次更新 Top 10。当前版本于 2013 年发布，因此此更新预计将是 2016 年或更可能是 2017 年的版本。这一次，我们正在进行开放数据调用，以便任何拥有广泛应用程序漏洞统计数据的组织都可以将他们的数据贡献给项目。为了让项目更容易使用这些贡献的数据，我们要求通过 Google 表单提供这些数据。截止日期：数据必须在 2016 年 7 月 20 日之前提交。

2016 年 7 月 13 日访问的 OWASP TOP 10 网站

Mobile Top 10 之所以是最新的，是因为与自 2003/2004 年开始运行的 OWASP TOP 10 项目相比，它是一个新的补充，当时移动安全确实不是今天的样子。

为什么不更新？

我不确定，但可能没有必要，或者在 OWASP 社区中进行太多讨论，才能更新 2013 年的网络前 10 名列表。此外，移动世界去年发展迅速，可能这就是为什么不同的漏洞和需求是必需的，因此（移动）安全行业必须随着移动行业的发展而更快地发展。

OWASP 前 10 名的历史

第一个 OWASP（网络）前 10 名列表于2003 年发布，2004 年发布了一个新列表。然后在2007 年、2010 年和2013 年发布了新的榜单。

2013 年，第一个 Mobile Top 10 被创建，并于2014 年进入决赛。据我所知，2015 年只完成了一项新的移动前十名分析，但没有得出最终名单。现在，您提到的 Mobile Top 10 2016 目前是一个发布候选文档。

事态发展

开放 Web 应用程序安全项目 (OWASP) 目前实际上正在研究 2016 年 OWASP 前 10 名。建议仍然可以在 2016 年 7 月 20 日之前提交。来源：owasp.org。