上周六,SegmentFault 首次开发者大会——SFDC 北京站「Security」大会——已顺利落下帷幕,四个会场,20 多位嘉宾,600+ 开发者参与其中。
上午主会场讲师分别从安全开发的理念传达、安全开发的需求罗列、系统设计的注意事项、以及测试的安全保障等多方面为大家带来了安全开发的经验分享。下午分会场的讲师们则分别从项目安全开发、服务端安全开发、移动安全开发为大家带来精彩分享。
全天四大会场,20 多位嘉宾分享的内容非常多,这里只节选部分特别精彩的演讲文稿分享给大家。
上午主会场
上午主会场分享嘉宾分别是 SegmentFault CEO 高阳,岂安科技创始人罗启武,知道创宇云安全高级安全顾问锅涛,阿里安全高级安全专家方超和 ThoughtWorks 资深质量分析师覃其慧。这里我们主要分享一下开场介绍和锅涛老师的议题内容。
开场介绍 by 高阳
首先是我们 CEO 高阳的开场介绍。大家都知道现在安全的问题越来越受到重视,这一次北京场大会,我们选择了跟安全相关的主题,就是要告诉大家在整个研发安全过程中,有哪些要注意的坑。
高阳继续介绍道:虽然在安全领域,SegmentFault 并不是最专业的,但我们的众多合作伙伴,如知道创宇、安全牛等公司都给了我们很大的支持着,跟我们一起筛选议题,也有很多赞助伙伴,如有赞、SendCould 等都非常给力,支持我们做这件有意义的事情。
此外,高阳希望参会者在这一天不光能够从讲师用心准备的分享内容中获得收获,还能够认识到一些同行的小伙伴。
《永无休止的业务逻辑“漏洞”》 by 锅涛
业务逻辑漏洞,它本身不是咱们说的网络层,系统层,代码层,它本身是跟人相关的,它称之为业务设计缺陷。接下来锅涛老师就给大家全方位讲解一下,在我们程序开发过程中,怎么去规避。除了学会如何规避,还将引发你去思考,思考这个漏洞它是怎么让黑客发现的,就是大家经常会说的一句话,如果你不知道漏洞是怎么来的,那你的防护永远是被动。
下午分会场
下午分会场,囊括了项目安全、服务端、移动端三个方向,邀请到了包括阿里巴巴、360、ThoughtWorks、七牛云、易宝支付等各大技术公司的专家、CTO 级别的大牛,分别进行研发安全的讨论。
《在软件项目开发中兼顾安全和敏捷》 by 刘再耀
OneAPM 安全技术总监刘再耀讲师一再强调:安全开发和敏捷开发也是一样的,我们需要把安全拆分到每一个阶段,让每一个安全及时的得到验证贯彻下去,让每个安全都在每个产出的时候都能及时得到落实,这样我们把这些安全的需求要上升到各个阶段去,在产品计划的阶段,每个计划和列表在我们每天日常的工作中都要把安全贯彻进去。更多结合实际的细节,大家可以参考讲师的 PPT 分享。
《精简 SDL 在企业中的落地》 by 廖威
在服务安全专场,来自易宝支付信息安全负责人廖威和我们分享了 SDL 相关的内容。第一个是我们企业为什么需要去实施 SDL,第二个是我们之前是如何去实施 SDL,并如何做到精简,形成了一个循环,闭环。
《Nginx+Lua 在网络安全方面的应用》 by 周为
Nginx 大家用的会比较多一点,基本上各个公司都有在用,大家也会拿 Nginx 去做一些简单的安全配置,比如防止目录被访问之类的。但是普遍的应用都不深,所以今天理财范资深工程师周为就来给大家讲一下 Nginx+Lua 在网络安全方面的应用,为大家开拓眼界。
《Android 手机安全审核体系经验谈》 by 潘宇
讲师潘宇目前是 360 安全研究员,负责 360 手机的安全审计和 Android 系统的漏洞挖掘和应用。今天潘老师的议题内容包括以下几个方面:
什么是安全审计?
如何做一个系统安全审计?
做系统安全审计的两大块内容包括哪些?
为什么会出现 Linux 漏洞、PIPE 漏洞等其他类型漏洞?
潘宇讲师的内容非常详细,建议大家参考 PPT 及速记稿一起阅读。
《app 安全再增强 -- “无法”脱壳的加固》 by 泮晓波
今天的主题不是讲脱壳,而是跟大家分享我们在客户端上的另外事例,叫做安全增强。不管 APP 或者 IOT 还是移动设备上安全问题,老实讲 APP 或者一个端,在恐怖的环境里面保证 APP 的安全,这是我们要解决的。安全增强主要的目的就是解决这几个问题。大会上,讲师简要分享了几个安全增强的方案。
详细方案,大家可以关注讲师的演讲 PPT 和大会速记文稿。
大会分享
花絮分享
志愿者们准备就绪啦
风风火火前来签到的开发者们
和展商互动中
咦,这是直接加起妹子微信了吗?
一下见到社区两位大 V,小编此刻手抖了
一张志愿者集体照
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。