专题: 研发安全
Day of week:
- 星期四
如何从研发过程的各个方面保障系统的安全
ThoughtWorks首席咨询师,InfoQ中文站资深编辑,热衷参与技术社区与技术传播,跨界于程序员和编辑两个世界。参与译著《Ajax实战》、《开源技术选型手册》、《我是一只IT小小鸟》、《Google API大全》、《.NET 2.0 模式开发实战》。
by 刘庆华
ThoughtWorks 安全专家
近年来,国内外互联网安全事件层出不穷,惨痛的教训让大家越来越重视安全,其中应用本身的安全性是极其重要的一部分。虽然企业已经采取了一些安全措施,然而大多数做法都存在或多或少的问题,主要表现在安全问题反馈周期太长,反馈速度慢,第三方渗透测试的局限性以及被动的应对安全问题等。为了更高效的提高应用的安全性,除了有必要对传统的安全措施进行加强之外,还需要在开发流程中引入一些安全实践,例如威胁建模,自动安全扫描、安全功能性测试等,从而缩短安全问题的反馈周期,加快反馈速度,主动去发现并尽早解决安全问题。我们将这些安全实践系统化的组合起来,并称之为内建安全软件开发(BSI)。
听众受益:
- 了解并学习 BSI 内建安全软件开发流程的特征 ;
- 了解业分析务阶段的安全实践,比如威胁建模,Evil Scenario 等 ;
- 了解开发阶段的安全实践,比如代码和依赖安全扫描等 ;
- 了解测试阶段的安全实践,比如自动化系统安全扫描和安全功能测试等 ;
- 了解并学习团队级别的安全策略,...
by 章华鹏
乌云唐朝安全巡航产品负责人
从项目研发的各个流程中可能潜在的安全问题进行深入分析同时给出一些可行的解决方案,包括系统设计评审阶段,上线前的白盒审计及黑盒测试,上线流程的运维安全等方面。整体思路方面,首先配合乌云十多万漏洞积累中的一些典型 case 的分析抛出对应存在的潜在风险,然后对这些潜在风险进行一个深入剖析,最后对应给出每个流程中对应问题的解决方案。最后会对整个研发安全问题的发展趋势进行分析,同时包括一些针对性解决方案的建议。
by 黄宙
苏宁云商 IT 总部高级架构师
苏宁易购作为一家互联网电商,面临着每月数百个项目迭代更新与产品发布。而没有一家大型电商的安全工程师们可以对每个发布上线项目进行安全服务与安全跟踪。一直以来互联网中各式各样的匿名者,通过软件安全漏洞、业务逻辑漏洞、人员工作疏漏,将灰色之手,伸向电商企业,并可持续逍遥法外很长一段时间。
我们从安全攻防角度,以风险控制思想,引入研发安全体系,参考研发安全管理、信息安全管理体系、研发安全最佳实践等理论,探索在研发中引入安全风险控制,将应用安全测试、威胁分析、大数据分析等综合评估手段,在全站安全测试产生的结果大数据中,实现全网有效研发安全态势感知,通过系统化、可持续运营研发安全能力输出工具,实现预防型研发安全管理,斩断逍遥法外的灰色之手。
by 邱雁杰
金山云高级安全工程师
通过对 SDL(Security Development Lifecycle)安全研发流程的探究,深度理解在整个安全研发生命周期中的各个风险点,然后结合实际案例对风险点进行形象化阐述,并给出风险点的具体解决方案。
通过针对 SDL 与研发生命周期的对应讲解,让参与者理解 SDL 在研发生命周期中的介入流程及对项目安全研发的重要作用,学习到 SDL 的具体实践思路。
演讲专题
Covering innovative topics
-
业务核心架构
本专题将介绍不同业务场景下,为了满足不同业务需求,系统核心架构设计上的特殊性考虑。例如,O2O业务系统架构设计上如何打通线上和线下,即时通讯业务系统架构如何实现高效消息通知,智能派单业务系统架构如何融入各种不同的算法……推荐业务,互联网金融业务,电商业务……没有实现不了的业务,只有你意想不到的架构。
-
工程效率提升
各公司研发体系内部会有很多工具及平台。他们和产品并没有直接的关系,但是这些工具及平台是工程师使用最多的。提高这部分的效率实际上对整个工程效率影响非常大,可以极大缩短开发的周期及人力投入。本专题致力于分享各公司在提高工程效率的各种最佳实践以及典型思路。
-
大数据应用层层深入
大家都知道大数据是金矿,但是,经过巧妙设计的大数据应用才是把金子挖出来的工具,缺乏合适的工具,金矿将长眠地下,不能发挥任何作用。本专题结合一线互联网公司微信,京东,LinkedIn等大数据应用,通过细致的剖析,包括场景,建模,结果应用,扩展等,全面展示了大数据应用的方法论和价值,相信对于各个行业都具有极高的借鉴意义。
-
研发安全
如何从研发过程的各个方面保障系统的安全
-
Java新发展
2015 年,Java 度过了 20 岁生日。可以说 Java 是目前应用最广的语言之一。本专题将关注最新的 Java 技术和最好的 Java 实践经验。
-
亚马逊AWS深度创新实践(厂商专场)
从亚马逊 AWS 于2006年3月14日上线 Amazon S3 服务至今,已经过去了整整十年时间。AWS 作为云计算领域的开拓者之一,其在保障云服务的弹性、安全性、高可用性、成本可控性等方面积累了大量的实践经验与知识,同时也推动了全球云服务行业的快速发展。
在 AWS 迎来10周年纪念之际,本专场将邀请来自 AWS 的资深技术顾问、解决方案架构师及 AWS 云服务用户,分享在 AWS 上构建个性化服务的实践过程,展示云计算相关技术的创新成果,演讲内容将覆盖深度学习、Python 开发、大数据平台架构、容器管理、物联网应用等多个技术领域。
-
基于云的 IT 系统升级部署专场(厂商专场)
2016年随着云计算相关技术的不断发展与实践,企业在面对云服务时必然将更加关注应用落地与解决方案的实际部署等问题。而对于开发者来说,基于云的开发可以解决一些传统开发方式解决不了的问题,但在云计算开发实践以及云平台迁移的过程当中仍需要留意一些关键的技术细节问题。
-
容器集群管理实践专场(厂商专场)
容器技术及Docker在经历了过去一年的不断实践、应用以及开源社区的努力推动,目前已经发展得愈发成熟、稳定。然而当企业在进行大规模容器调度、编排、管理以及Docker部署应用、各种管理工具的使用结合时,仍然会面临着一些困难和挑战需要解决。
-
支撑互联网服务的高可用架构
探究典型的互联网服务的高可用架构之道
-
云平台架构
云计算的概念已经发展了多年,无论是公有云还是私有云均已得到广泛运用,近年来以Docker为代表的容器技术更是极大的推动了云平台技术的发展。本专题将探讨在多种不同的应用场景下,云平台的架构该如何设计,云平台的服务该如何管理,业内多家公司将分享他们的实战经验。
-
架构演进之路
-
大数据平台架构
大数据平台层出不穷,如何选型和架构
-
从机器学习到人工智能
在大数据时代,这些技术如何影响我们的生活
-
自动化运维
运维事故频频出现,运维人员应该如何避免
-
未来的前端
前端的变化日新月异。从早期脚本库、jQuery,到百花齐放框架,再到近年 AngularJS 和 React;手工打包、合并 Sprite 到工具自动化;单人作战到团队协作的工程化开发;传输协议上从 HTTP 1.1 到 HTTP 2;从简单页面到越来越多的复杂富应用。这次专题,我们希望能面向未来,一起思考、探索与实践。
-
移动开发挑战
移动互联网日益深入生活,背后有哪些值得挖掘的技术实践
-
人才与团队
-
复杂环境下美丽说&蘑菇街电商的升级之道(限额免费体验专场)
蘑菇街 CEO 陈琪说,简单地只做媒体把时尚内容摆在用户面前的时代正在成为过去,能够引导用户消费的社交电商正在袭来。在这个机遇与挑战并存的时代,电商平台亟需找到新的用户兴趣点,更加快速地响应用户需求,不断提升用户体验品质。从技术层面来看,电商平台在应对业务挑战时,仍然需要不断提高技术支撑力,比如怎样在电商促销活动逐日增多的情况下,对系统的设计、研发等各方面进行升级换代?在全民移动化的趋势不容忽视的情况下,如何能保障移动端全链路的问题实时跟踪实时解决?转型到社会化电商之后,如何根据业务环境寻找到合适的算法模型?这些都将是本期美丽说&蘑菇街专场活动将要分享的重点内容。
-
大数据生态构建专场(厂商专场)
业界流传一句话:三分技术,七分数据,得数据者得天下。
-
打破规则,我是黑客
「这个世界有规则,不过是用来打破的。」对于黑客来说,证明自己存在最直接的方式就是打破已有规则,在网络空间中进入上帝模式,俯视目标的运行规律。黑客是有争议的存在,但是谁能没争议?守正出奇且具备创造力,在争议中进化世界。本专题将把黑客文化浓厚的「KCon 黑客大会」诸多精彩带上 QCon 大舞台。
-
产品设计思维
互联网产品层出不穷,那些成功的产品背后有哪些思路可以借鉴
-
移动测试技术
移动互联网快速发展阶段下,移动端的自动化测试、专项性能优化测试(crash、内存泄露、流量、耗电、卡顿/流畅度、弱网络、I/O等等)、动静态测试、移动众测等多个领域都有很多不同于PC时代的困难和挑战,也都有其领域独特的优势和机会。以移动领域的最佳测试技术实践方案为切入点,本专题希望给大家更多的思路方向和视野。
-
服务化与微服务架构
越来越多的公司开始尝试使用微服务架构(Microservices Architecture)构建围绕业务、细粒度的分布式系统。微服务的优势显而易见,不过在其带来灵活性、扩展性和可伸缩性的同时,也面临着诸多挑战,譬如服务拆分、服务治理、测试、自动化部署以及监控告警等。本专题邀请国内一线互联网公司的技术专家,分享其使用微服务的实践以及思路。
-
编程语言实战
新的编程语言不断涌现,旧有语言也有很多新的发展。不同语言又有很多类似或者迥异的机制实现某些共有的概念,如异步,如并发。本专题中,你将看到不同语言如何实现并发和异步,Lua 语言的新应用,以及 Rust 语言之特性。
-
知名互联网公司的管理方法
知名互联网公司的管理方法
-
技术创业
技术人要创业,有哪些因素要考虑,有哪些坑要面对
-
新时代的数据存储与访问技术
-
运维与监控专场(厂商专场)
有人认为运维的过程更像是消防,7*24小时响应异常和危情。但实际情况是,无论做什么运维,最基本的职责都是保证业务能够稳定运行。运维以技术为基础,通过技术保障产品来提供更高质量的服务。当然,运维技术也包括服务监控技术,对服务运行的状态进行实时的监控;对基础设施性能分析;对App和API进行性能监控;发现服务隐患等等。本专场就邀请了好雨云CTO张斌、逸创云客服CEO叶翔、云智慧VP刘志达,和听云研发总监杨金全共同来讲讲各自在产品运维方面,在为客户提供性能优化服务方面克服了哪些难关,在技术选型上有哪些值得借鉴的经验。
-
新兴技术及应用
-
移动开发与即时通讯专场(厂商专场)
移动之火,人尽皆知!移动端设备性能和功能的不断提升,直接促进了移动领域的发展,进而,移动App开发平台和第三方服务机构如雨后春笋般出现。在此前提下,用户对高效、稳定、可靠的即时消息推送服务的需求亦在不断增加,这些服务所提供的开放平台标准接口,自助集成语音、短信、即时通信能力也是提升用户体验的重点。