OWASP中国四川区域安全沙龙
OWASP中国四川区域安全沙龙
暨2021软件开发安全与效能技术论坛成都站
一、 会议背景
如今,5G网络、人工智能、工业互联网、大数据中心等新技术的迅猛发展为软件领域、安全领域的发展提供了新的机遇。但是新的机遇也意味着新的挑战。如何在高效开发的同时,确保软件内生安全,是开发人员和安全人员需要面临的共同问题。
初夏5月,蓉城,OWASP中国携手OWASP中国四川分会、DevOps社区、啪嗒网安加学院举办“OWASP中国四川区域安全沙龙暨2021软件开发安全与效能技术论坛成都站”。 此次论坛我们邀请到OWASP中国副主席王颉博士、OWASP中国四川区域负责人/思特沃克(ThoughtWorks)中国区信息安全团队负责人马伟、Global Payments 安全攻防技术负责人王晓飞、Elastic 开发者布道师刘征、JFrog中国高级架构师李威等行业大咖进行议题分享。安全业界大咖、顶级安全技术专家将与开发者汇聚一堂,分享最新的S-SDLC和DevSecOps在行业的深度创新和最佳实践。
二、 会议主题
安全赋能软件世界
三、 会议介绍
论坛时间:2021年5月21日(周五)
论坛地点:成都高新区
参会人数:120人
参会人员:开发人员、安全从业人员
四、 组织机构
主办单位:OWASP中国
协办单位:OWASP中国四川分会、DevOps社区
承办单位:啪嗒网安加学院
赞助单位:开源网安
直播媒体:啪嗒网安加学院
合作社区:elastic社区、ThoughtWorks社区、创新实干派
五、 主要嘉宾
序号 |
姓名 |
介绍 |
1 |
王颉 |
OWASP中国副主席,英国拉夫堡大学网络安全博士,开源网安副总经理。主要研究方向包括软件安全开发全生命周期实时检测防御、威胁分析与建模、网络入侵监测、敏感信息防扩散、企业信息化建设方法等,并长期跟踪和研究OWASP SAMM。 |
2 |
宋荆汉 |
现任网安加学院院长,深圳创新方法研究会理事、创新实干派社区核心创始人。17年研发及管理经验,在中兴通讯、任子行网络,全志科技、汇金科技,担任研发管理高管,曾参与国家软件安全开发相关标准的制定,对软件安全开发有比较深入的研究。 |
3 |
马伟 |
OWASP中国四川区域负责人,思特沃克(ThoughtWorks)中国区信息安全团队负责人,资深安全咨询师。长期专注于应用安全技术与实践,对如何将安全实践融入到敏捷开发之中有深入的研究和实践经验。 |
4 |
王晓飞 |
Global Payments 安全攻防技术负责人,拥有超过10年的信息安全领域工作经验,曾担任过国企、互联网等多个行业的网络安全技术与管理职务,在安全运营、安全服务、SDL等多个安全领域有丰富的实践经验。 |
5 |
刘征 |
Elastic 开发者布道师 DevOps社区组织者,DevOps Handbook和The Site Reliability Workbook译者;精通DevOps/SRE/ITIL等管理体系。致力于推广DevOps/SRE的理念、技术和实践。 |
6 |
李威 |
DevOps教练,GDevOps、TGO鲲鹏会金牌讲师。 曾就职于京东、烽火等互联网企业及传统企业,十年一线开发及运维经验,带领团队从零到一实践DevOps转型。 |
六、 议题介绍
序号 |
议题 |
嘉宾 |
1 |
王晓飞 |
|
随着DevOps的逐渐推广实施,如何让安全不再成为DevOps落地的阻力,如何让产品能在安全可控的前提下快速迭代发布,成为公司安全部门绕不开的话题。 本议题基于支付行业的一种落地实践方案,从安全下沉、安全自动化和安全培训三个方面探讨在满足SDL的基础上如何改进安全流程,安全技术和安全工具,以适应快速迭代的开发模型,消除安全和开发运维的隔离,统一关注点,提升团队和产品的效率,形成一种最佳的DevSecOps实践方法,最终达到更快发布和更新产品,并又能把安全嵌入到产品中。 |
||
2 |
马伟 |
|
应用程序大量依赖第三方组件或者库,如果它们含有已知安全漏洞,那么应用程序也会受到牵连,因此管理好应用依赖安全不容忽视。OWASP DependencyTrack是OWASP全球的顶级旗舰项目之一。本议题将通过对OWASP DependencyTrack的介绍,和你分享依赖安全管理经验。 |
||
3 |
李威 |
|
随着开源软件的广泛使用,开源软件的治理成为企业的难点,如何在企业内部进行开源软件治理的建设,当一个开源软件爆出了高危漏洞,如何快速定位到漏洞的实际影响范围?如何在规避漏洞风险的同时,不降低研发效率?本次分享讲为大家讲解企业实践开源治理的实际案例,包括开源软件治理的挑战和开源软件治理“四步法”。 |
||
4 |
刘征 |
|
近几年来云计算和大数据处理平台在安全信息安全管理方面取得了长足的发展,安全专家们不仅能够迅速的定位安全威胁事件,还可以使能更多团队实现安全管理左移的目标。安全事态感知和预警平台的构建需要精细的规划和打磨才能实现其预期的功效。本次议题将详细介绍当前业界流行的安全攻击和威胁框架,以及如何设计可重复使用的威胁狩猎流程,如何实施基于网络行为特征定义的自动化威胁狩猎。并介绍大数据搜索和规划的挑战和最佳实践做法。 |