伴随互联网技术的迅速发展,基于传统网络架构的各类业务逐步向基于B/S架构的应用体系转变。业务类别越来越多,应用复杂度也越来越高。人们逐渐发现传统网络层的防护已经无法保障业务的安全运行。提升业务系统安全需要从业务流程、应用架构、应用系统等多个角度来思考从而寻求解决方案。因此,对于应用安全的关注度也逐渐升温。
面对来势汹汹的应用威胁,绝大多数企业并没有真正意识到其中的危机。一方面,恶意网站以600%的年增长速度在迅速增加;另一方面,77%带有恶意代码的网站是被植入恶意攻击代码的合法网站。如果把前者比作明枪还可以避免的话,那么作为暗箭的后者可以轻而易举地攻击无辜普通网站访问用户,进而危及企业信誉。
作为全球顶级的应用安全组织,OWASP(Open Web Application Security Project)中国将于2010年10月20-23日在北京举办OWASP 2010中国峰会,本次大会特意邀请政府、金融、互联网、教育、电信、能源等热门行业的CIO代表,国内外知名的应用安全专家、厂商代表共聚一堂,就应用安全及业务安全发展及技术创新等话题进行广泛而深入的讨论,同时也为广大从事应用安全研究的技术人员提供一个多元化的交流平台。我们聚合产官学力量,推动中国应用安全市场发展。
针对目前热点的安全技术,安全开发(SDL)、代码安全、渗透 测试等领域,我们将举办为期2天的培训,邀请全球顶级的安全专家,为您解读最新的、最热门的安全技术。
OWASP是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究。我们的使命是使应用软件更加安全,使企业和组织能够对应用安全风险作出更清晰的决策。目前OWASP全球拥有130个分会近万名会员,共同推动了安全标准、安全测试工具、安全指导手册等应用安全技术的发展。
作为业界顶级的应用安全组织,OWASP在很多领域都体现了极其重要的作用:
美国联邦贸易委员会(FTC)强烈建议所有企业需遵循OWASP所发布的十大Web弱点防护守则。
美国国防部亦列为最佳实务。
国际信用卡数据安全技术PCI标准更将其列为必要组件。
各类应用安全厂商(包括IBM\FORTIFY\HP\DBAPPSECURITY等),均将OWASP TOP 10列为应用安全风险基准。
OWASP研究内容:目前OWASP有30多个进行中的计划,包括最知名的OWASP Top 10(十大Web弱点)、WebGoat (代罪羔羊)练习平台、安全PHP/Java/ASP.Net等计划,针对不同的软件安全问题在进行讨论与研究。