OWASP 2011亚洲峰会在北京召开

(中国软件网讯)北京时间11月8日，全球顶级Web应用安全组织OWASP在中国北京国际会议中心召开了OWASP 2011亚洲峰会，本次大会邀请了政府、金融、互联网、教育、电信、能源等热门行业的CIO代表和国内外知名的应用安全专家、厂商代表。以 “互联网安全新思维”为主题，在“网络安全产品测评”、“OWASP应用安全技术”“业务安全发展新思路”“云安全”等多个方面展开深入的讨论。

虽然是亚洲峰会，但美国、比利时、加拿大等国家和地区的安全人员均有参与，有的还担任了嘉宾并为大会做了很多工作。

OWASP2011亚洲峰会

从大会第一天来的人员比例来看，安全工程师和研究人员占了大多数，市场人员和媒体占了一部分，CIO/CTO/CSO占了一部分。

在开幕辞之后，来自中科院软件研究所的丁丽萍开始了大会的第一个技术主题演讲——《云计算环境下的隐蔽信道分析》。

隐蔽信道分析

云计算安全威胁分析

有参会者表示丁丽萍女士讲的挺不错，但这个虚拟机系统安全相关的技术报告有点偏学术。

在上午10点30分左右，OWASP中国副会长、杭州安恒信息技术有限公司总裁范渊给大家带来了《Web安全的今天和明天》。

Web安全的今天和明天

11点开始到12点上场的两位演讲嘉宾分别是Trustwave的Jonathan Werrett和阿里巴巴的吴翰清。演讲题目分别是《Patch first,ask questions later》和《流行应用的加密算法实现缺陷与利用》。

这两位仁兄的议题都很受参会者欢迎，Jonathan Werrett对Web防护进行了不错的理念阐述，阿里巴巴的吴翰清在叙述算法缺陷的同时还顺便爆了一个Discuz!的0day。借用某位参会者的话说，是有图有“洞”有POC。很有诚意。

阿里巴巴集团资深安全专家 吴翰清

在第一天会议的后半程，我们发现了刚刚参加完RSA2011中国大会的Imperva高级安全策划师——Noa Bar-Yosef。她给大家带来的是一个前瞻性议题《Hacking 2011：Lesson for 2012》。和其他外籍演讲者不同。这姑娘怕全英文PPT对中国观众不太友好，细心的准备了一份中英文双语PPT。

Noa Bar-Yosef正在演讲中

在她的演讲中，我们可以发现她对国外的Lulzsec、Anonymous等黑客组织的活动颇为关注。但实际上，她不但关注各个国家和地区的黑客活动，而且熟悉黑客攻防和IT审计技术。

Noa Bar-Yosef的双语PPT

在会场展台区，我们惊喜的看到以前没有专门Web防护产品的公司也纷纷推出了自己的WAF设备或新型的云WAF。不管是SaaS模式还是PaaS模式还是传统设备，大家对Web安全的重视程度确实有大幅提高。

但我们也注意到会场内部是没有现场主持翻译的，虽然有同传，但好像很多人不知道。笔者身边英语不佳的朋友面对老外演讲只能对着PPT揣测。有大量外籍讲师是好事，但也希望举办方能体谅一些本土参会者的外语水平。另外，最好增加Q&A的时间，让嘉宾和参会者能够充分的交流。

最后希望OWASP在中国有更多的支持者，峰会越办越好。