|
|
新闻中心
> >
相关内容
观安技术大咖应邀出席OWASP2017亚洲峰会
2017.07.10

  2017年7月8日众人瞩目的OWASP2017亚洲峰会在深圳如期举办。上海观安信息技术有限公司安全总监,OWASP上海分会主席王文君作为特邀演讲嘉宾出席安全界技术大咖云集的盛宴。
 


 

  OWASP

  OWASP是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究。OWASP被视为web应用安全领域的权威参考。

  OWASP在业界影响力

  2009年下列发布的美国国家和国际立法、标准、准则、委员会和行业实务守则参考引用了OWASP。美国联邦贸易委员会(FTC)强烈建议所有企业需遵循OWASP十大WEB弱点防护守则

  国际信用卡数据安全技术PCI标准更将其列为必要组件

  为美国国防信息系统局(DISA)应用安全和开发清单参考

  为欧洲网络与信息安全局(ENISA),云计算风险评估参考

  为美国联邦首席信息官(CIO)理事会,联邦部门和机构使用社会媒体的安全指南

  为美国国家安全局/中央安全局, 可管理的网络计划提供参考

  为英国GovCERTUK提供SQL注入参考

  为欧洲网络与信息安全局(ENISA),云计算风险评估提供参考

  OWASP TOP 10为IBM APPSCAN、HP WEBINSPECT等扫描器漏洞参考的主要标准
 


 

  王文君作为SDLC在企业中的践行者,《Web应用安全威胁与防治》的作者之一,以“DevSecOps落地之二三事”为议题,首先解释了当前DevSecOps落地遇到的三个难题:开发者缺乏安全意识,迫于市场压力把重点放在功能开发上;运维者更注重边界防护,觉得安全是安全团队的责任;部分安全人员目前缺乏对应用安全的理解,难以将安全与DevOps进行集成。

  基于这几个难题,王文君提出了可以从三个方面来进行改善:首先是改善文化氛围,讲风险量化,并反应在dashboard上使得管理者意识到,安全人员应该融于开发团队;在流程上推行安全左移前置(Security Shift Left),讲风险提前;在技术上应该利用每个开发阶段适用的自动化工具来实现自动化。并且讲解了OWASP在这个开发流程中提供的开源工具,如Snake&Ladder,ASVS,Cornucopia,Dependency Check等来加速实现DevSecOps。他精彩幽默的演讲迎来了与会者的掌声,并称受益匪浅。

  这是一场全球安全精英思想碰撞出智慧火花的盛宴,与会大咖们建言献策、勾画产业发展蓝图。观安信息作为安全界崛起的新锐,携手如王文君等众多技术大牛,致力为大数据时代到来保驾护航,若你也如我们一般心怀梦想,请加入我们!与您一同凤舞九天!

分享至: