通信世界网(CWW)10月22日消息 今天,OWASP 2010中国峰会在北京举行,国内外知名的应用安全专家、厂商代表共聚一堂,就应用安全及业务安全发展及技术创新等话题进行广泛而深入的讨论。
OWASP是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究,是全球顶级的Web应用安全组织。
通信世界网作为本次大会的直播媒体,将对本次大会进行全面、深入的报道。
图为 OWASP Long Island US chapter leader Helen Gao
演讲实录:
Helen Gao:大家下午好!首先我很高兴能够来到中国,跟中国的同行和世界其他国家的同行商讨应用软件安全的这个紧迫话题。前两天我们有四位应用安全专家跟培训班的同学们分享了他们的经验和教训,今天早上大家也听到了来自公安部门的、企业界的、学术界的这些安全专家对这个问题的呼吁。
其实应用软件信息安全不是几个专家的专利,要改善这个局面需要我们社区里面的每一个人都要从自己做起,从他的公司做起,从他开发的软件做起。但是有时候你会问,我一个人能够做什么东西呢?所以在下面的三十分钟里面,我想跟大家谈一谈怎么样利用OWASP这个国际组织发挥我们个人有限的能力来改善这个软件安全,我会给大家一些具体的建议。
我觉得有一句话描写软件安全很贴切,它的意思是“坏人只需要侥幸一次,但是作为好人一次都不能错”。我刚才大家大家给大家一个具体的建议,就是怎么样利用OWASP发挥个人有限的能力来改善这个软件安全,下面我具体讲怎么样做一个OWASP项目。
什么是OWASP项目?OWASP项目跟你们在公司做的任何项目都是一样的,它需要具备一个目标,就是你要做什么东西,你要有一个版本计划,然后还有有一个团队。我们现在正在筹办的一个项目叫OWASP中文项目,这个项目的目标是把OWASP丰富的巨大量的资料和研究成果带给讲中文的大众,这个包括了中国大陆的、台湾的、香港的和世界各地讲中文的那个群体,就是让他们也能够利用这种研究成果。
我拿这个例子来解释我们OWASP项目的条件,我们的版本就是首先东西都需要先翻译,因为OWASP的资料数量是巨大的,十年来全世界各地的同仁都为OWASP贡献了他们很多研究成果,所以在这种情况下我们要搞清楚翻译什么东西对讲中文的最有帮助,而且我们建立用中文搜索OWASP网站的这个功能。OWASP项目的这个团队成员越多越好,因为需要懂得各方面软件技术的人,而且数量量巨大、资料量巨大,所以需要很多的人。所以我希望在座的各位,如果有时间、有热情,请你们参加这个团队,咱们可以在网上电邮交谈或者会下交谈。
谈一谈OWASP项目怎么分类,OWASP分类有两种办法,一个是按它的用途 来分类,有三类。第一类就是这个项目的成果是起到一种保护的作用,因为一个软件开发的时候在设计和实施的过程中总是由于各式各样的限制难免有很多漏洞,那是不是就会被黑客攻击呢?不一定,有一类做成品以后可以保护。另外一类项目是起到检测作用的,这个很著名的例子就是比如(英文),你用它的API来读者输入的话,你就可以避免现在目前最广泛的一种漏洞,就是OWASP每一两年会出一个很完整的文稿,介绍当前十个最严重的安全漏洞是什么、怎么样预防、它的危险性,都会有很详细的文档,而且这个文档已经被翻译成中文,应该很快就可以在网站上下载到,这种项目起到检测的作用,是防患于未然的一种工具。第三种工具是属于能够应用在整个软件开发的生命周期的工具,这个例子就是(英文),在软件一开始有构思到最后成品的时候都可以用它,它实际就是网上的一个测试环境,比如这是一个很成熟的OWASP项目。
OWASP项目还有另外一种分法,它也是三类,它是按照性质来分类,为什么我跟大家讲项目的分法?因为你看怎么样申请做项目时候的手续 ,它会根据项目的种类有稍微不同的要求。项目按性质分类的话第一类就是工具性的,antiSamy就是一个。另外一类是文稿性的,它不会直接为你做什么东西,但是OWASP Top 10把当前十个漏洞解释的清清楚楚。
一个OWASP项目为什么得到国际公认?我觉得在于它的规范化、成熟化和高质量,OWASP会有一个委员会,大家都是志愿者,没有任何商业牵扯,他会来衡量这个项目。一个项目要么就是a版本,要么就是b版本,要么就是稳定版本,当你是a版本的时候你只需要自己评估,当项目不断的发展就到了一个或者多个的b,在你申请我的项目成为b版本以前OWASP 会要求你有一个评审员,这个人不是你们团队的,还有一个评审OWASP 7个委员会里面的其中一个,GPC也会看一下你是不是具备健康的标准。项目质量最高标准就到了稳定,稳定的标准除了上述的要求以外还多出两个要求,它多出了一个评审员,然后董事会也要评审。a版本是最初的版本,它只给测试者使用。b版本是基本可以使用了,软件公司有一些比较重要的客户,它会给他们设立一个测试的环境,b版本最好是带有使用说明书。稳定的时候是任何人都可以在网上下载使用这个内容。
刚才我们说了很多评估、清单,到底OWASP 怎么衡量一个项目的健康呢?它是要看这几个东西。首先是看版本的数目,比如你开发一个项目,然后你说这是我的稳定版本,大家可以马上下载使用,那这个时候OWASP就会问了,没有看到你(英文)的过程,所以版本的数目应该有相当。团队的人数就不一定是越多越好,有一些需要人越多越好,但是有些可能一个人或者几个人就可以了。行业的参与也很重要,在座哪一位是做软件开发的?我自己是做软件开发的,那其他人是做什么东西的呢?有几个是做软件测试的?往往我看做OWASP项目的人都和他的本职工作有关系,他做本职工作的时候遇到软件开发或者软件测试会有一些构思 。实际上在这个情况下发展的项目已经有行业参与的性质在里面了,所以你在跟你OWASP申请的时候就把这个写在里面,你说我有行业参与的潜力。可用性也是一样的,比如你发现微软的视窗里面有一个漏洞,你做了一个(英文)把它的漏洞堵了,可能它就会觉得这个可用性不那么大,因为一个好的(英文)应该是战略性的解决一类的问题,所以可用性很重要。培训教材的质量也很重要,因为OWASP是一个开源的、免费的、面向大众的,它希望能够涉及到越多的人,所以你那个做的越好用,培训教程写的越清楚,质量就越高。你们看OWASP Top10它写的很容易懂。
我想用一个例子来概括一下刚才我讲的那些步骤、那些指标,比如我的超级项目,比如你做一个项目发现了一个安全漏洞,你就觉得这个有做项目的潜力,那么你就和GPC说你可不可以开发这个超级项目,你给GPC准备大概3页的幻灯片,有你的概述,有你的团队计划,然后你再给GPC提供一页的宣传资料,GPC批准 以后会给你设立一个网页,然后再给你设立一个邮件列单交由你来管理。这样每天有很多人看OWASP网站,就可能会申请加入你的邮件列单,给你反馈。你在不断发展你的项目就会产生a版本,在这以前OWASP把这个叫做初级的灵级的,当你的项目产生b版本的时候你就升级到一级了,要升级二级的话就是产生稳定版本了,任何人都可以下载使用了,而且一半以上的健康指标你都应该达到了。最高的健康状态应该是达到全部的健康指标。
作为项目带头人具体要做什么?第一个,你准备3页以上的概述和1页宣传资料,然后你要建立一个版本计划,然后你要管理那个网页和邮件列表,管理网页是用(英文),比如当你的团队有变化新的版本你去(英文)的网页,邮件列表是因为有时候会有厂商来做广告,所以在你去管理邮件列单的时候也要注意。项目带头人还要负责宣传推广,好在OWASP这个国际平台有很多分布会议,有网站,有邮件列单,你会发现宣传和推广有很多东西可以帮到你。项目带头人,有些项目是由OWASP来赞助的,有些项目要你自己去争取赞助,也就是说你要争取到赞助的话OWASP还会提成,给你16分。OWASP的Tom会跟大家讲,所有OWASP的财政数据全部都是公开跟透明的。
怎么样利用OWASP?它的最大特点是全球性、开源 性和非盈利性,它有118个项目,OWASP有118个项目,但是有一些项目当初建立了以后后来就沉默了,处于一种冬眠或者等待收养的状态,所以你们要有一个注意做什么项目的话,不妨去看一下那个单子,那个网站和邮件列单是现成的,OWASP很希望你们收养这些孤儿项目。OWASP的开源性是所有的资料都是公开和免费的,个人可以用,公司也可以用,为什么可以这样呢?因为项目的成果有一个公共许可证,如果你的项目属于文档性的它建议你用CC,如果你的项目是工具性的它建议你使用(英文)。所有这些大同小异,但是如果你拿过来用但是不改,什么事情都没有,但是如果你改的话,你改的部分就一定是要公用的。
十年来OWASP已经成为国际公认的标准,这些美国跟国际的机构只是公开赞同或者采用OWASP标准很少的一部分人。OWASP的组织机构是基金会、董事会7位,还有3位雇员,这3位雇员是唯一拿OWASP薪水 的,其他人全部都是志愿者。OWASP有7个委员会,我把它的名字跟国家居住地都讲出来了,你们看到这上面少了一个很重要的国家,就是中国,基金会没有一个基于中国的人,委员会也没有基于中国的人,Tom这次来有一个使命,就是一定要在中国亚太地区7个委员会至少每个委员会找一个是基于中国的,我希望在不久的将来,各位会开发OWASP项目,成为OWASP的带头人,竞选委员会。其实委员会还不用选,就是基金会用选,基金会去年选一次,今年还要再选一次。
具体来讲,OWASP有很多东西可以让你的(英文)容易一点,比如我做这个幻灯片,其实我没有设计它,但是看上去还不错,就是我去下载的,OWASP上面有很多。因为OWASP是国际平台,它可以推广你的项目,赞助商也很容易接受OWASP。最后,我想再呼吁大家参加加入我们OWASP的中文项目,帮助我们,帮助中文大众,你可以会后跟我谈,或者直接E-mail都可以。今天很容易在这里看到大家,希望我这个讲座给大家一些具体的建议,谢谢!
