大方向是從之前特別強調的 Dev(elop) 角色外,又多考量 Op(eration) 角色,以因應現在大家導入的 DevOps 所可能引發的安全問題。

當然除了 API 基本應該要做的安全檢查,主要強調的考量點我想還是新架構模式的引入,例如 MicroServices / Serverless。把 Monolith 拆解後,自然就變複雜性,且因安全問題從「程式」層級,提升到「架構」層級,使得很多現行「檢查工具」及「教育訓練」也跟著失效。

之後隨著 AIOps / BlockChain / 後量子密碼學的興起,應該又會再重組一次吧。

參考來源

Four Years Later, We Have a New OWASP Top 10