OWASP中国Rip:推动中国更好发展
11月3日,以“深度解读应用及业务安全”为主题的OWASP 2012中国峰会在深圳博林诺富特酒店召开。本届大会从多方面、多角度诠释基于因特网、无线电话网和物联网的应用、融合及业务方面的安全,并围绕应用及业务安全发展方向和威胁增长趋势等方面,进行深层次的探讨。
以下是OWASP中国主席Rip的演讲内容:
首先欢迎各位嘉宾参与OWASP2012峰会,OWASP一直崇尚于开源的技术型组织,很多人可能对他的运行和发展状况不太熟悉,这里主要就OWASP中国的目前发展和以后的发展方向给大家做一下了解。
那我们首先看一下OWASP中国做什么?我们一直说推动中国的发展,怎么去推动?怎么去让他发展起来?大家的业务系统是基于B/S架构开发,安全问题与日俱,那么如何面对这些越来越多的安全问题?目前OWASP中国已经慢慢有自己的体系:项目、沙龙、资源池的等。下面我有一些概念给大家分享一下。
这里有一组2012年的数据,到2012年年中的时候OWASP中国区的已经会员有1266人,其中70%以上来自各大互联网公司、金融证券、电信运营商这一块。其次, 2012年OWASP中国举办了8场免费在线培训,我们以后的在线免费培训越来越多,大家可以关注一下我们免费在线培训平台。再次,我们把OWASP的400多个项目做了一些整理,其中关注度比较高的30多个,有15个整理了中文的资料,同时我们产生了衍生项目和原有项目的培训。很多资料对大家的工作、学习都有帮助,比如说TOP10哪年会有变化? 为什么会有这些变化?另外,2012年我们在全国举办了12场沙龙,主要分布在北京、上海、广州三大区域。
以后我们可能会更加集中,更加多元化的举办。 我们以后可能会偏向行业做一些沙龙,会在北京、上海、广州的金融、运营商等行业分类做专场做沙龙,针对金融或者互联网公司的一些需求做详细的分析,有针对性的输出。另外可以看一下OWASP的会员积分管理制度,美国也在采纳这种积分的制度。我们会将贡献权益制度更加清晰和明确,每个人都有机会参与OWASP的区域负责或者OWASP主席的一个竞争。它是一个相对来说比较公平和透明的过程。普通会员的积分,有点类似“壹基金”。每个人奉献一点点,就会产生巨大的价值。OWASP的会员以后就是那种没有行业界限的,通过贡献的可以免费参加我们的技术活动,免费参加我们的在线培训,我们把这种免费在线平台打造得更好。通过积分机制,到了一定积分之后,你可以主动提出参与竞选OWASP管理团队和OWASP的中国区的主席。怎么样获取这些积分呢? OWASP里面分为培训、峰会、活动、会员、义卖、合作等几大块,每参与其中一项,都可以活动相应的积分,积分到了一定程度可以参与到OWASP的相应的决策体系里面去,来推动OWASP的发展,同时也推动获得自我价值升值的一个过程。
积分管理体系是我们推行的一个创新点,同时我们的峰会交流以后也是一个创新性的平台。第一点是峰会将更加技术化,在峰会当中我们将看到更多技术专家,更少的商务宣传。第二点我们预计在2013年做应用安全周。我们下一届峰会可能是在北京、上海、广州三地同时举办。我们有50%是高端议题是共享的,我们会更多的去吸引和吸收国外的一些顶级的专家给我们做新技术的介绍和推广。第三点我们的一个资源池的概念。现在怎么去突破行业的壁垒?OWASP资源池是一个什么概念?我们会选择高端的技术专家、咨询专家、培训专家他会进入到我们的资源池里面去,同时资源池可以对外的客户,无论是企业也好或者技术应用方面也好,或者是直接的客户也好可以给他提供专业的培训。包括一些高端技术的突破,比如在加密算法、比如说在某些技术上有些技术壁垒是无法突破的我们可以寻求专家给他支持。例如华为的IPD流程、微软的SDL流程是安全开发里面的一些比较好的流程。但是很多大公司里面,他们的流程体系比较乱或者更本就没有,那么我们可以协助把体系尽量完善,那么客户可以向资源池寻求帮助,资源池里面的顶级专家可以为大家服务,同时我们会给安全专家和客户分别进行定级的评分,保证整个交互的过程相对来说是一个比较完美的过程。同时这也可以慢慢消除掉行业的技术壁垒,我们行业参与进来的话可以形成一个相应的比较完善的技术类的体系。这也是我们在2013年会主要做的一个方向。
2013年我我们会把OWASP的各种自有的项目和衍生的项目更多的分享给大家,同时会举办相对来说更多的沙龙来推动整个应用安全的技术发展,大家有什么想法或者有什么问题直接可以跟我们沟通。谢谢各位!