SegmentFault 联合创始人兼 CEO,90 后极客创业者,是杭州市唯一 90 后青年企业家协会理事会员。2014 年,高阳入选福布斯中国「30 位 30 岁以下创业者」。
暂无介绍
北京市朝阳区东北三环七圣中街 12 号云南大厦北京新云南皇冠假日酒店
当前业界内,大众关注 IT 安全的范畴主要在产品的运维阶段。然而我们知道,安全需求实际上存在于软件开发流程中的各个阶段。
从需求分析开始,接下来的核心架构设计、软件研发过程、测试结果再到运维服务,细致到每一个环节的严格把控,才能保证一个完整产品的高质量运作,保障产品使用过程中的安全。
此次大会,将从研发安全切入,全流程安全全程渗透,通过开发流程中出现的安全隐患、问题和解决方案实践,传递出『研发安全』和『全流程安全』的理念。
话题方向:进行安全开发时,在浏览器前端如何配合后端进行设计,并实现整个系统的安全(跨域,Cookie)。
话题方向:开发过程中,如何在服务器端进行设计,实现与前端的安全整合。
话题方向:面对移动设备逐渐增多的情况,如何在移动端与服务端的配合,实现移动服务的安全
时间 | 会场 | 事项 |
---|---|---|
08:00 - 09:00 | 主会场 | 签到 |
09:00 - 09:30 | 开场介绍 | |
09:30 - 10:10 | 罗启武 -《互联网业务的风险控制》 | |
10:10 - 10:50 | 锅涛 -《永无休止的业务逻辑“漏洞”》 | |
10:50 - 11:00 | 茶歇,现场小活动 | |
11:00 - 11:40 | 方超 -《互联网业务面临问题浅谈和安全创新实践》 | |
11:40 - 12:20 | 覃其慧 -《致测试同仁们:让我们做 Web 安全测试吧!》 | |
12:20 - 13:30 | 午休 | 自助午餐,午休 |
时间 | 前端会场 | 后端会场 | 移动端会场 |
---|---|---|---|
13:30 - 14:15 | 孙义 -《基于安全教育的安全意识盛筵》 | 周为 -《Nginx+Lua 技术在网络安全方面的应用》 | 议题待确认 |
14:15 - 15:00 | 郭洋 -《敏捷开发中的安全实践》 | 王卫东 -《面向安全的大数据分析方法和思路》 | 议题待确认 |
15:00 - 15:45 | 议题待确认 | 陈爱珍 -《打造安全的容器云平台》 | 韩建 -《软件安全开发之痛》 |
15:45 - 16:15 | 茶歇,现场小活动 | ||
16:15 - 17:00 | 刘再耀 -《在软件项目开发中兼顾安全和敏捷》 | 毛哲文 -《如何从系统架构的层面进行安全设计》 | 陈东新 -《移动 app 漏洞引发的思考》 |
17:00 - 17:45 | 范亚铃 -《项目管理之于安全开发》 | 廖威 -《精简 SDL 在企业中的落地》 | 泮晓波 -《app 安全再增强 -- “无法”脱壳的加固》 |
17:45 - 18:20 | 会后自由交流,合影 |
SegmentFault 联合创始人兼 CEO,90 后极客创业者,是杭州市唯一 90 后青年企业家协会理事会员。2014 年,高阳入选福布斯中国「30 位 30 岁以下创业者」。
暂无介绍
高阳(Sunny)
SegmentFault 联合创始人兼 CEO
< 大会主持人 >
SegmentFault 联合创始人兼 CTO。曾先后在阿里巴巴和游戏公司从事开发工作,主导过众多开源项目,是开源博客 Typecho 的发起人。
暂无介绍
祁宁(Joyqi)
SegmentFault 联合创始人兼 CTO
< 大会主持人 >
从事信息安全行业多年,具有丰富的国际安全产品经验,包括:IMPERVA、Paloalto、McAfee、IBM国际一线安全产品,荣获Paloalto ACE高级工程师证书以及IBM SVP证书,同时荣获 IMPERVA大中华区“IMPERVA应用场景撰写大赛”最佳文档殊荣。长期从事企业信息安全体系建设、行业安全咨询、大数据反欺诈、威胁情报咨询服务,同时专注于企业业务安全及网络安全攻防技术研究。
演讲主题:永无休止的业务逻辑“漏洞”
主题摘要:随着互联网业务的不断发展,企业线上交易越来越复杂,企业开发代码的频繁迭代,新的安全风险层出不穷,神秘的异常交易、诡异的短信验证、幽灵般的虚拟资产消失等等,本议题将全面揭秘业务逻辑“漏洞”神秘的面纱。
锅涛
知道创宇云安全高级安全顾问
< 出品人 >
社会工程学名著《欺骗的艺术》译者,财经、IT文章写作者,十二年信息安全从业经验,九年《中国信息安全年鉴》编纂经验,曾任中国计算机安全网、光芒网主编,现任安全牛主编。
暂无介绍
李少鹏
安全牛主编
< 出品人 >
10 年的信息安全相关经验,15 年开发经验,曾就职于通信、电信及教育行业。熟悉 Web 应用安全、服务器安全、网络安全、加解密、Linux系统安全以及常见安全协议及美国军方安全认证,擅长入侵测试,威胁建模和风险分析等。 现专注于推动安全开发相关的流程改进。
暂无介绍
刘庆华
ThoughtWorks安全专家
< 出品人 >
多年企业级系统的应用运维及分布式系统实战经验。现专注于容器、微服务及devops落地的研究与实践。
演讲主题:打造安全的容器云平台
主题摘要:随着容器技术的不断推广,越来越多的企业在生产中实践容器技术。虽然容器技术能解决传统模式许多痛点,但在信息化安全愈发重要的今天,容器的安全问题也成为重要的话题之一。本次将围绕容器及容器平台的构建,从网络安全、应用安全、安全加固、环境安全、安全审计等方面讲述如何打造一个安全的容器云平台。
陈爱珍
七牛云布道师
< 打造安全的容器云平台 >
OpenJDK 和 Java Security 专家成员,专注于 Java 虚拟机,应用安全、安全研发、安全架构等领域。国内首款运行时应用自我防护系统的研发负责人。
演讲主题:在软件项目开发中兼顾安全和敏捷
主题摘要:如何确保项目开发敏捷和安全两者兼得呢?
刘再耀
OneAPM 安全技术总监、架构师
< 在软件项目开发中兼顾安全和敏捷 >
2015年加入携程,负责携程安全产品研发,平时主要工作方向为大数据下的安全防护工作。
演讲主题:逆向思维解读iOS安全开发
主题摘要:最近几年,移动安全一直是安全界最火爆的话题,本议题将通过逆向思维的方法,通过讲解iOS安全开发中的What、Why、How,去思考在IOS开发中应该注意的安全事项
张亮
携程技术保障中心安全研发
< 逆向思维解读iOS安全开发 >
曾担任携程集团应用安全技术负责人,率领安全产品以及工具研发团队致力于安全架构、安全产品等领域的深耕。他有超过10年安全从业经验,尤其在应用安全,安全产品的研发,人机识别,安全对抗、防欺诈等领域积累了丰富的经验。
演讲主题:互联网业务的风险控制
主题摘要:不少厂商安全意识不够高,这是有历史原因的。互联网是个新兴的行业,很多厂商也是进入这个行业不久,在没吃到安全方面的苦头之前,很多企业不太愿意花太多预算到业务安全上。当然,当他们遭遇了业务欺诈例如薅羊毛、被撞库这样的安全问题之后,自然会对业务安全重视起来。 风控的本质是什么?其实控制已经是一个结果,那么,通过什么方式控制、控制到什么程度其实非常重要。做风控重要的是做到可视化,让客户知道正常情况下的用户数、订单数等,然后根据客户的业务逻辑,调整策略和模型。只有客户知道了正常情况下业务是什么情况,才能知道哪些地方严、哪些地方松,这才是基于业务的风控。风控并不是控得越严越好,需要有一个平衡。 来自岂安科技的创始人,安全专家罗启武将跟大家聊聊互联网企业解决业务发展过程中,跟业务、交易、用户相关的安全问题。
罗启武
岂安科技创始人,CEO
< 互联网业务的风险控制 >
毕业后一直从事安全领域的工作和研究,涉及的安全领域有操作系统安全、网络安全、内容保护系统、秘钥管理系统等。曾担任多年的系统架构师角色,对不同产品进行过安全架构设计。
演讲主题:如何从系统架构的层面进行安全设计
主题摘要:主要可以分享如何从系统架构的层面进行安全设计,实现全方位的端到端的安全保障。
毛哲文
华为安全专家
< 如何从系统架构的层面进行安全设计 >
ThoughtWorks资深质量分析师,有丰富的安全测试经验。
演讲主题:致测试同仁们:让我们做Web安全测试吧!
主题摘要:在信息安全越来越引起企业与用户重视的今天,精专的软件安全测试人员却是非常稀缺的。保障信息安全的重要手段之一是在软件开发团队内部迅速培养起有能力承担起安全职责的人员。作为专注软件质量的测试人员,更适合在较短时间内进行转化,从而更多的承担信息安全维度的漏洞预防与检测。
覃其慧
ThoughtWorks资深质量分析师
< 致测试同仁们:让我们做Web安全测试吧! >
安全研究院负责人,WhiteCellClub安全团队核心成员。
演讲主题:移动app漏洞引发的思考
主题摘要:移动app检测、app脱壳等那些事儿
陈东新
神月信安联合创始人
< 移动app漏洞引发的思考 >
国内首个基于威胁情报应用的风险评估产品--安全值的核心开发者。6年海外工作经历,并于2104年在美国获得MBA学位。多年为大型国际型金融公司提供软件研发服务,工作经历覆盖了软件系统全生命周期的各个环节,尤其擅长软件系统设计和软件项目管理及质量管理。一直专注于通过数字化项目管理来提升系统的可靠性和安全性方面的研究及实践。
演讲主题:项目管理之于安全开发
主题摘要:1.软件系统安全漏洞主要的形成原因:人员技能不足、项目规划缺陷、项目管控不力等;2.如何有效管控项目,确保系统安全性
范亚铃
研发总监
< 项目管理之于安全开发 >
主要研究方向包括:Web应用攻击检测、内网异常行为分析、DNS防护系统、网络攻击诱骗技术、云计算环境下的安全需求、基于大数据分析的日志关联分析方法及算法原理、基于信誉评价的安全技术、安全度量与态势感知、信息安全元数据规范、APT及内部异常行为的检测与防范、僵尸网络检测方法
演讲主题:面向安全的大数据分析方法和思路
主题摘要:1、大数据分析概述 根据大数据的特征,指出了目前业界普遍存在的认识误区,并提出了判断是否真的大数据分析的黄金标准。 1)大数据特征 2)大数据分析的认识误区和黄金标准 3)大数据分析的概要过程 2、大数据分析的过程详解 详细讲述了大数据分析过程的三个环节:确定期望结果(大数据应用场景)、数据采集的关键问题、数据分析的思路与算法运用。数据分析的思路解决了方法论的困惑,算法运用解决了分析的具体细节。 1)大数据分析的目标 2)数据的采集和来源 3)大数据分析思路(基于线索与基于算法的两大方法) 4)行为建模和算法运用 3、 大数据分析应用实例 给出了一系列具体应用实例及其实现的原理细节。 Web shell检测、僵尸网络检测等 4 大数据分析系统实现 大数据分析平台的功能架构与平台组成的程序模块(开源项目或商业软件)。 分析平台的功能架构与具体实现
王卫东
信安部门技术总监
< 面向安全的大数据分析方法和思路 >
在网融天下从事基础架构方面的工作,同时也有一些开源项目,例如 VeryNginx 。
演讲主题:面向安全的大数据分析方法和思路
主题摘要:目前攻击方式越来越多,那么防护技术也需要及时更新。本次主要介绍怎样将 Lua 嵌入到 Nginx 执行流程中,灵活而高效的实现对可疑攻击请求的探测和阻止,同时会进行一些现场演示。
周为
理财范资深工程师
< 面向安全的大数据分析方法和思路 >
易宝支付信息安全负责人,有十余年的安全经验。熟悉网络分析溯源取证、DDos攻击与防御、大数据安全分析、信息安全管理体系。从0到1建设易宝安全监控、防御、分析、审计体系。
演讲主题:精简SDL在企业中的落地
主题摘要:根据企业业务实际情况,制定安全开发周期,并在企业中落地。
廖威
易宝支付信息安全负责人
< 精简SDL在企业中的落地 >
开源工具 dex2jar 的作者,主要研究客户端安全,加固,混淆。
演讲主题:app安全再增强 -- “无法”脱壳的加固
主题摘要:当人们需要要提高Android应用的安全性时, 首先想到的技术是应用加固。但是随着时间的变迁,加固效果已经大不如前,攻击者已经掌握对抗方案,各种脱壳方法层出不穷。 我将以应用加固提供商的角度分享一个加固的新方案,难以被攻击者轻易脱壳。当然我会分享这个方案实现的主要难点,技术解决方法,您可以自己实现该方案。
泮晓波
前阿里巴巴移动安全专家
< app安全再增强 -- “无法”脱壳的加固 >
2006-2010年担任《黑客防线》杂志技术编辑,实施过多个在线网络安全培训项目,在web安全方面有深入的研究和收获;2010-至今,永信至诚高级安全工程师,负责多个安全项目渗透测试工作,也曾为多家大型企业和项目进行安全培训和指导,带领团队创建“i春秋”项目安全培训课件系统。 在Xcodeghost事件中,以16小时的应急响应,做到国内第一个以视频+环境复盘形式描述整个事件的实际情况。同时也作为Xcodeghost事件研讨会邀请者参与关于此事件的分析与阐述。
演讲主题:基于安全教育的安全意识盛筵
主题摘要:在当今进入物联网时代,所有人都离不开的办公都离不开互联网的情况下,如何提高公司内部人员(包括开发、运维、非技术工种)如何防御未知的黑客攻击,并保证公司财产安全。
孙义(幻泉)
i春秋学院技术总监
< 基于安全教育的安全意识盛筵 >
方超(花名习林),阿里安全高级安全专家,之前在趋势科技长期负责企业产品的研发,从2014年负责阿里聚安全开放平台的相关工作,在移动安全、业务安全、内容安全等领域从业多年, 致力于打造一个稳定、高效、可扩展的互联网业务安全解决方案,以技术推动互联网+企业的发展。
演讲主题:互联网业务面临问题浅谈和安全创新实践
主题摘要:企业在展开互联网业务时,面临的安全现状和威胁,通过梳理相应的互联网业务安全问题,如移动APP面临的漏洞,破解等问题,互联网业务面临的垃圾注册,虚假注册,刷单,抢红包的反欺诈问题,分享对应的解决问题的方法,最后会分享阿里聚安全解决互联网业务安全的通用型架构,能够帮助企业和用户快速的部署抵御安全威胁。
方超
阿里聚安全负责人
< 互联网业务面临问题浅谈和安全创新实践 >
360代码卫士产品技术负责人,2015年ISC大会演讲嘉宾,2016年OWASP亚洲峰会演讲嘉宾,多项国家级、部委级科研课题的技术骨干,程序静态分析专家,曾为能源、金融、航空、通讯等多家单位提供安全风险评估及安全开发培训。
演讲主题:软件安全开发之痛
主题摘要:国内外软件安全事件层出不穷,大家对软件自身的安全性越来越重视,本议题将介绍如何提高软件自身的安全性,如何在开发测试流程中建议安全开发体系。同时,目前软件开发模式中大量使用开源代码,本议题通过对数百款开源软件代码进行源代码缺陷检测得到的实测数据,深入分析开源软件的源代码安全现状,并提出软件开发中应如何对开源代码安全风险。
韩建
360代码卫士技术经理
< 软件安全开发之痛 >
360 VulpeckerTeam 安全研究员,研究方向为 Android 系统安全审计,Android 系统漏洞挖掘与利用。曾向谷歌,华为,MTK 多家手机厂商报告漏洞,收到多次致谢。
演讲主题:Android手机安全审核体系经验谈
主题摘要:本议题分享如何构建一个系统级别的安全审计流程。除了传统的App审计,如何对系统底层进行安全扫描,排查已知漏洞和未知的 0day,建立相对安全的手机 OEM。
潘宇
360 VulpeckerTeam 安全研究员
< Android手机安全审核体系经验谈 >
大会时间:2016 年 11 月 19 日
大会地点:北京市朝阳区东北三环七圣中街 12 号云南大厦北京新云南皇冠假日酒店
共同来组织这场属于开发者的大会盛宴吧。
联系人:
Linda|15266203210|linda@sf.gg
阿 敏|18600360220|aimee@sf.gg
把知识和见解分享给更多有着共同爱好的小伙伴,要求具有资深的从业经验和能力,如果你够格就来挑战吧。
联系人:
Warren | 13260516697 | warren@sf.gg