上周六,SegmentFault 首次开发者大会——SFDC 北京站「Security」大会——已顺利落下帷幕,四个会场,20 多位嘉宾,600+ 开发者参与其中。segmentfault
上午主会场讲师分别从安全开发的理念传达、安全开发的需求罗列、系统设计的注意事项、以及测试的安全保障等多方面为你们带来了安全开发的经验分享。下午分会场的讲师们则分别从项目安全开发、服务端安全开发、移动安全开发为你们带来精彩分享。安全
全天四大会场,20 多位嘉宾分享的内容很是多,这里只节选部分特别精彩的演讲文稿分享给你们。微信
上午主会场分享嘉宾分别是 SegmentFault CEO 高阳,岂安科技创始人罗启武,知道创宇云安全高级安全顾问锅涛,阿里安全高级安全专家方超和 ThoughtWorks 资深质量分析师覃其慧。这里咱们主要分享一下开场介绍和锅涛老师的议题内容。网络
首先是咱们 CEO 高阳的开场介绍。你们都知道如今安全的问题愈来愈受到重视,这一次北京场大会,咱们选择了跟安全相关的主题,就是要告诉你们在整个研发安全过程当中,有哪些要注意的坑。app
高阳继续介绍道:虽然在安全领域,SegmentFault 并非最专业的,但咱们的众多合做伙伴,如知道创宇、安全牛等公司都给了咱们很大的支持着,跟咱们一块儿筛选议题,也有不少赞助伙伴,若有赞、SendCould 等都很是给力,支持咱们作这件有意义的事情。测试
此外,高阳但愿参会者在这一天不光可以从讲师用心准备的分享内容中得到收获,还可以认识到一些同行的小伙伴。spa
业务逻辑漏洞,它自己不是我们说的网络层,系统层,代码层,它自己是跟人相关的,它称之为业务设计缺陷。接下来锅涛老师就给你们全方位讲解一下,在咱们程序开发过程当中,怎么去规避。除了学会如何规避,还将引起你去思考,思考这个漏洞它是怎么让黑客发现的,就是你们常常会说的一句话,若是你不知道漏洞是怎么来的,那你的防御永远是被动。设计
演讲:《永无休止的业务逻辑“漏洞”》网络安全
下午分会场,囊括了项目安全、服务端、移动端三个方向,邀请到了包括阿里巴巴、360、ThoughtWorks、七牛云、易宝支付等各大技术公司的专家、CTO 级别的大牛,分别进行研发安全的讨论。开发
OneAPM 安全技术总监刘再耀讲师一再强调:安全开发和敏捷开发也是同样的,咱们须要把安全拆分到每个阶段,让每个安全及时的获得验证贯彻下去,让每一个安全都在每一个产出的时候都能及时获得落实,这样咱们把这些安全的需求要上升到各个阶段去,在产品计划的阶段,每一个计划和列表在咱们天天平常的工做中都要把安全贯彻进去。更多结合实际的细节,你们能够参考讲师的 PPT 分享。
在服务安全专场,来自易宝支付信息安全负责人廖威和咱们分享了 SDL 相关的内容。第一个是咱们企业为何须要去实施 SDL,第二个是咱们以前是如何去实施 SDL,并如何作到精简,造成了一个循环,闭环。
Nginx 你们用的会比较多一点,基本上各个公司都有在用,你们也会拿 Nginx 去作一些简单的安全配置,好比防止目录被访问之类的。可是广泛的应用都不深,因此今天理财范资深工程师周为就来给你们讲一下 Nginx+Lua 在网络安全方面的应用,为你们开拓眼界。
讲师潘宇目前是 360 安全研究员,负责 360 手机的安全审计和 Android 系统的漏洞挖掘和应用。今天潘老师的议题内容包括如下几个方面:
什么是安全审计?
如何作一个系统安全审计?
作系统安全审计的两大块内容包括哪些?
为何会出现 Linux 漏洞、PIPE 漏洞等其余类型漏洞?
潘宇讲师的内容很是详细,建议你们参考 PPT 及速记稿一块儿阅读。
今天的主题不是讲脱壳,而是跟你们分享咱们在客户端上的另外事例,叫作安全加强。无论 APP 或者 IOT 仍是移动设备上安全问题,老实讲 APP 或者一个端,在恐怖的环境里面保证 APP 的安全,这是咱们要解决的。安全加强主要的目的就是解决这几个问题。大会上,讲师简要分享了几个安全加强的方案。
详细方案,你们能够关注讲师的演讲 PPT 和大会速记文稿。
志愿者们准备就绪啦
风风火火前来签到的开发者们
和展商互动中
咦,这是直接加起妹子微信了吗?
一下见到社区两位大 V,小编此刻手抖了
一张志愿者集体照