SegmentFault 成立四年来,社区的生态越来越完善,在这期间我们得到了非常多开发者用户和合作伙伴的支持,到目前为止,我们也在线下成功举办 40 多场技术沙龙和黑客马拉松比赛,让 13 座城市的 5000 多位活跃开发者积极参与其中。
2016 年,我们想做一次新的尝试,也是团队的一次自我挑战——
这一次,SegmentFault 面向全国开发者的技术大会——SegmentFault Developer Conference 2016(以下简称 SFDC),将以技术为核心,邀请全国范围的开发者和重量级的技术嘉宾,一起来分享各自领域的技术实践和心得见解。
其中,11 月 19 日在北京以研发安全为主题的「Security」大会,将囊括项目安全、服务端、移动端三个方向,邀请到了包括阿里巴巴、360、ThoughtWorks、七牛云、易宝支付等各大技术公司的专家、CTO 级别的大牛,分别进行研发安全的讨论。
议题内容方面,按项目安全、服务端、移动端三个方向进行,分别进行研发安全的讨论;
大会的适用人群,不仅仅限于安全领域的从业者,准备的内容让各领域的开发者群体都可以参与;
讲师方面,邀请到了包括阿里巴巴、360、ThoughtWorks、七牛云、易宝支付等各大技术公司的专家、CTO 级别的大牛;
参会方面,目前正在以 ¥42 的超值优惠方式,限时限量售票,社区用户更可享受不限时的社区优惠票。
一场开发者大会,值不值得参加,在嘉宾和议题上,会体现地很诚实。我们强调「以技术为核心,邀请了国内安全行业享有名声的大牛做技术分享」,那就来看看,北京的这场 Security 大会有什么样的嘉宾、会带来什么样的议题。
主会场嘉宾
上午的主会场,除了开场之外,有四位嘉宾分别就风险理念、需求分析、程序设计及测试中的安全,分别进行深入详细的分析。
时间 | 事项 |
---|---|
08:30 - 09:00 | 签到 |
09:00 - 09:30 | 开场介绍 |
09:30 - 10:10 | 罗启武 -《互联网业务的风险控制》 |
10:10 - 10:50 | 锅涛 -《永无休止的业务逻辑“漏洞”》 |
10:50 - 11:00 | 休息,现场小活动 |
11:00 - 11:40 | 方超 -《互联网业务面临问题浅谈和安全创新实践》 |
11:40 - 12:20 | 覃其慧 -《致测试同仁们:让我们做 Web 安全测试吧!》 |
12:20 - 13:30 | 自助午餐,午休 |
主持人
高阳(Sunny),SegmentFault 联合创始人兼 CEO
90 后极客创业者,是杭州市唯一 90 后青年企业家协会理事会员。2014 年,高阳入选福布斯中国「30 位 30 岁以下创业者」。
祁宁(Joyqi),SegmentFault 创始人兼 CTO
曾先后在阿里巴巴和游戏公司从事开发工作,主导过众多开源项目,是开源博客 Typecho 的发起人。
讲师
罗启武 -《互联网业务的风险控制》
罗启武,岂安科技创始人,CEO。曾担任携程集团应用安全技术负责人,安全从业超过 10 年,尤其在应用安全、安全产品的研发、人机识别、安全对抗、防欺诈等领域有丰富的经验。国内知名专业漏洞平台 Sebug创始人,红狼安全组织发起人之一,上海信安协会理事。
议题摘要:风控的本质是什么?其实控制已经是一个结果,通过什么方式控制、控制到什么程度其实非常重要。做风控重要的是做到可视化,让客户知道正常情况下的用户数、订单数等,然后根据客户的业务逻辑,调整策略和模型,才是基于业务的风控。来自岂安科技的创始人,安全专家罗启武将跟大家聊聊互联网企业解决业务发展过程中,跟业务、交易、用户相关的安全问题。
锅涛 -《永无休止的业务逻辑“漏洞”》
锅涛,知道创宇云安全高级安全顾问,从事信息安全行业多年,具有丰富的国际安全产品经验,长期从事企业信息安全体系建设、行业安全咨询、大数据反欺诈、威胁情报咨询服务,同时专注于企业业务安全及网络安全攻防技术研究。
议题摘要:随着互联网业务的不断发展,企业线上交易越来越复杂,企业开发代码的频繁迭代,新的安全风险层出不穷,神秘的异常交易、诡异的短信验证、幽灵般的虚拟资产消失等等,本议题将全面揭秘业务逻辑“漏洞”神秘的面纱。
参会收获:让开发者与安全测试人员全面了解业务逻辑“漏洞”带来的危害以及如何被黑客利用,避免同样的业务逻辑“漏洞”导致的安全问题再次发生。
方超 -《互联网业务面临问题浅谈和安全创新实践》
方超(花名习林),阿里安全高级安全专家,负责阿里聚安全开放平台的相关工作,在移动安全、业务安全、内容安全等领域从业多年,致力于打造稳定高效、可扩展的互联网业务安全解决方案。
议题摘要:企业在展开互联网业务时,面临的安全现状和威胁,通过梳理相应的互联网业务安全问题,如移动 App 面临的漏洞、破解等问题,互联网业务面临的垃圾注册/虚假注册、刷单、抢红包的反欺诈问题,分享对应的解决问题的方法,最后会分享阿里聚安全解决互联网业务安全的通用型架构,能够帮助企业和用户快速的部署抵御安全威胁。
覃其慧 -《致测试同仁们:让我们做 Web 安全测试吧!》
覃其慧,ThoughtWorks 资深质量分析师,有丰富的安全测试经验。
议题摘要:在信息安全越来越引起企业与用户重视的今天,精专的软件安全测试人员却是非常稀缺的。保障信息安全的重要手段之一是在软件开发团队内部迅速培养起有能力承担起安全职责的人员。作为专注软件质量的测试人员,更适合在较短时间内进行转化,从而更多的承担信息安全维度的漏洞预防与检测。
参会收获:你将了解什么是安全测试,以及常规测试人员参与其中的必要性与合理性;了解安全性测试与常规测试的异同;了解常规测试人员如何展开测试相关的安全实践以配合 Web 软件开发周期其他阶段的安全实践。
项目安全开发专场
下午的议题按照专场形式,将分别从项目安全开发、服务安全、移动安全三个方向进行。
时间 | 项目安全开发专场 |
---|---|
13:30 - 14:15 | 孙义 -《基于安全教育的安全意识盛筵》 |
14:15 - 15:00 | 郭洋 -《敏捷开发中的安全实践》 |
15:00 - 15:45 | 议题待确认 |
15:45 - 16:15 | 茶歇,现场小活动 |
16:15 - 17:00 | 刘再耀 -《在软件项目开发中兼顾安全和敏捷》 |
17:00 - 17:45 | 范亚铃 -《项目管理之于安全开发》 |
孙义 -《基于安全教育的安全意识盛筵》
孙义,春秋学院技术总监,负责多个安全项目渗透测试工作。在 Xcodeghost 事件中,以 16 小时的应急响应,做到国内第一个以视频+环境复盘形式描述整个事件的实际情况,同时也作为 Xcodeghost 事件研讨会邀请者参与关于此事件的分析与阐述。
议题摘要:在当今进入物联网时代,所有人都离不开的办公都离不开互联网的情况下,如何提高公司内部人员(包括开发、运维、非技术工种)如何防御未知的黑客攻击,并保证公司财产安全。
郭洋 -《敏捷开发中的安全实践》
郭洋,青松云安全技术 VP,从事安全行业 10 多年,熟悉 Web 应用安全、服务器安全、网络安全,安全加固。
议题摘要:分享议题主要包括如何在保持项目开发效率的同时,保证代码安全。开发者可以了解到如何在保证开发效率保持敏捷的同时,兼顾代码安全,做安全开发。
刘再耀 -《在软件项目开发中兼顾安全和敏捷》
刘再耀,OneAPM 安全技术总监、架构师。OpenJDK 和 Java Security 专家成员,专注于 Java 虚拟机,应用安全、安全研发、安全架构等领域。国内首款运行时应用自我防护系统的研发负责人。
参会收获:1. 了解如何进行 SSDLC 开发;2. 熟悉在敏捷开发中如何进行安全开发和实践;3. 认识常用安全保障技术和工具。
范亚铃 -《项目管理之于安全开发》
范亚铃,安全牛研发总监,多年为大型国际型金融公司提供软件研发服务,工作经历覆盖了软件系统全生命周期的各个环节,尤其擅长软件系统设计和软件项目管理及质量管理。一直专注于通过数字化项目管理来提升系统的可靠性和安全性方面的研究及实践。
议题摘要:安全漏洞的形成不仅仅是开发者的问题,不是单纯的技术问题,只有全方位的提升才能真正有效提高系统的安全表现。本议题内容包括软件系统安全漏洞主要的形成原因(人员技能不足、项目规划缺陷、项目管控不力等)以及如何有效管控项目,确保系统安全性。
服务安全专场
时间 | 服务安全专场 |
---|---|
13:30 - 14:15 | 周为 -《Nginx+Lua 技术在网络安全方面的应用》 |
14:15 - 15:00 | 王卫东 -《面向安全的大数据分析方法和思路》 |
15:00 - 15:45 | 陈爱珍 -《打造安全的容器云平台》 |
15:45 - 16:15 | 茶歇,现场小活动 |
16:15 - 17:00 | 毛哲文 -《如何从系统架构的层面进行安全设计》 |
17:00 - 17:45 | 廖威 -《精简 SDL 在企业中的落地》 |
周为 -《Nginx+Lua 技术在网络安全方面的应用》
周为(AlexaZhou),网融天下(理财范)资深工程师,开源项目 VeryNginx 作者。
议题摘要:目前的攻击方式越来越多,那么防护技术也需要及时更新。本次主要介绍怎样将 Lua 嵌入到 Nginx 执行流程中,灵活而高效的实现对可疑攻击请求的探测和阻止,同时会进行一些现场演示。
参会收获:1. 在 Nginx 中对攻击进行防护的原理和通常实践;2. 将 Lua 嵌入到 Nginx 的原理和实现。
王卫东 -《面向安全的大数据分析方法和思路》
王卫东,E安全咨询顾问。主要研究方向包括:Web 应用攻击检测、内网异常行为分析、DNS 防护系统、网络攻击诱骗技术、云计算环境下的安全需求、基于大数据分析的日志关联分析方法及算法原理等。
议题摘要:
大数据分析概述:根据大数据的特征,指出了目前业界普遍存在的认识误区,并提出了判断是否真的大数据分析的黄金标准。
大数据分析的过程详解:详细讲述了大数据分析过程的三个环节:确定期望结果(大数据应用场景)、数据采集的关键问题、数据分析的思路与算法运用。数据分析的思路解决了方法论的困惑,算法运用解决了分析的具体细节。
大数据分析应用实例:给出了一系列具体应用实例及其实现的原理细节,Web shell检测、僵尸网络检测等
大数据分析系统实现:大数据分析平台的功能架构与平台组成的程序模块(开源项目或商业软件),分析平台的功能架构与具体实现
陈爱珍 -《打造安全的容器云平台》
陈爱珍,七牛云布道师。多年企业级系统的应用运维及分布式系统实战经验,现专注于容器、微服务及 devops 落地的研究与实践。
议题摘要:虽然容器技术能解决传统模式许多痛点,但在信息化安全愈发重要的今天,容器的安全问题也成为重要的话题之一。本次将围绕容器及容器平台的构建,从网络安全、应用安全、安全加固、环境安全、安全审计等方面讲述如何打造一个安全的容器云平台。
参会收获:1. 如何打造一个安全的容器云平台;2. 容器平台的网络安全,应用安全,安全加固,环境安全,安全审计等方面的相关探讨。
毛哲文 -《如何从系统架构的层面进行安全设计》
毛哲文,华为安全专家,从事安全领域的工作和研究,涉及的领域有操作系统安全、网络安全、内容保护系统、秘钥管理系统等。曾担任多年的系统架构师角色,对不同产品进行过安全架构设计。
议题摘要:本议题将分享如何从系统架构的层面进行安全设计,实现全方位的端到端的安全保障。听众将学会如何识别系统级的安全需求,并对系统架构层面进行安全设计有一个全面的了解和认识。
廖威 -《精简 SDL 在企业中的落地》
廖威,易宝支付信息安全负责人,有十余年的安全经验。熟悉网络分析溯源取证、DDos 攻击与防御、大数据安全分析、信息安全管理体系,从 0 到 1 建设易宝安全监控、防御、分析、审计体系。
议题摘要:根据企业业务实际情况,制定安全开发周期,并在企业中落地。
移动安全专场
时间 | 移动安全专场 |
---|---|
13:30 - 14:15 | 赵磊 -《黑客眼中的移动安全》 |
14:15 - 15:00 | 潘宇 -《Android 手机安全审核体系经验谈》 |
15:00 - 15:45 | 陈东新 -《移动 app 漏洞引发的思考》 |
15:45 - 16:15 | 茶歇,现场小活动 |
16:15 - 17:00 | 韩建 -《软件安全开发之痛》 |
17:00 - 17:45 | 泮晓波 -《app 安全再增强 -- “无法”脱壳的加固》 |
赵磊 -《黑客眼中的移动安全》
赵磊,梆梆安全高级安全咨询师,拥有 10 年安全行业从业经验,对互联网、IOT 等行业移动安全领域有深入研究。公安部 PMT 联盟专家组成员,参与公安部移动警务、中国移动终端安全等标准制定。参与中国移动、中国联通、光大银行、民生银行、陌陌、乐视等大型客户的移动安全保障体系和方案设计。
议题摘要:本次演讲将从黑客的视角去透视移动应用安全里的秘密,进行发现黑客针对移动应用发起攻击的目的、目标、手段以及相关演示,进而通过对黑客攻击方式的详细分析找出与之对抗的防护方法。
参会收获:可以对移动安全中黑客的攻击方式和手段有更加直观的认知,领悟并学习到有针对性的防御思路和技术手段。
潘宇 -《Android 手机安全审核体系经验谈》
潘宇,360 VulpeckerTeam 安全研究员,研究方向为 Android 系统安全审计,Android 系统漏洞挖掘与利用。曾向谷歌,华为,MTK 多家手机厂商报告漏洞,收到多次致谢。
议题摘要:本议题分享如何构建一个系统级别的安全审计流程。除了传统的 App 审计,如何对系统底层进行安全扫描,排查已知漏洞和未知的 0day,建立相对安全的手机 OEM,让你了解 Android 系统的常规漏洞和系统安全审计流程。
陈东新 -《移动 app 漏洞引发的思考》
陈东新,神月信安联合创始人,安全研究院负责人,WhiteCellClub 安全团队核心成员。
议题摘要:移动 app 检测、app 脱壳等那些事儿,引发你对移动 app 漏洞的思考,包括 app 设计、开发等方面的安全问题。
韩建 -《软件安全开发之痛》
韩建,360 代码卫士产品技术负责人,2015 年 ISC 大会演讲嘉宾,2016 年 OWASP 亚洲峰会演讲嘉宾,多项国家级、部委级科研课题的技术骨干,程序静态分析专家,曾为能源、金融、航空、通讯等多家单位提供安全风险评估及安全开发培训。
议题摘要:国内外软件安全事件层出不穷,大家对软件自身的安全性越来越重视,本议题将介绍如何提高软件自身的安全性,如何在开发测试流程中建议安全开发体系。同时,目前软件开发模式中大量使用开源代码,本议题通过对数百款开源软件代码进行源代码缺陷检测得到的实测数据,深入分析开源软件的源代码安全现状,并提出软件开发中应如何对开源代码安全风险。
泮晓波 -《app 安全再增强 -- “无法”脱壳的加固》
泮晓波,前阿里巴巴移动安全专家,开源工具 dex2jar 的作者,主要研究客户端安全,加固,混淆。
议题摘要:当人们需要提高 Android 应用的安全性时,首先想到的技术是应用加固。但是随着时间的变迁,加固效果已经大不如前,攻击者已经掌握对抗方案,各种脱壳方法层出不穷。讲师将以应用加固提供商的角度分享一个加固的新方案,难以被攻击者轻易脱壳。当然也会分享这个方案实现的主要难点,技术解决方法,会后,开发者可以尝试自己实现该方案。
以上为嘉宾介绍,更多大会相关的消息请持续关注,我们将全程报道。
当前,SFDC 北京「Security」大会正在以 42元/张 的超值优惠票方式出售,可点击大会地址→ http://sfdc-2016bj.bagevent.com 进行购买。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用
。你还可以使用@
来通知其他用户。