通信世界网(CWW)10月22日消息 今天,OWASP 2010中国峰会在北京举行,国内外知名的应用安全专家、厂商代表共聚一堂,就应用安全及业务安全发展及技术创新等话题进行广泛而深入的讨论。
OWASP是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究,是全球顶级的Web应用安全组织。
通信世界网作为本次大会的直播媒体,将对本次大会进行全面、深入的报道。
图为 OWASP全球董事会 Tom Brennan
演讲实录:
Tom Brennan:各位下午好!我的名字是Tom Brennan,我是OWASP全球基金会董事会成员,非常感谢你们把OWASP引进中国。OWASP基金会的行动非常敏捷,我想在此强调OWASP的价值观和基本理念,并邀请您加入OWASP。
用google翻译OWASP的理念是这样的,但是我觉得很片面,所以我想亲自跟大家讲一下OWASP的理念是什么。想了解未来必须先了解过去,OWASP成立于01年的12月,在过去的十年里它十分迅速的发展成一个独立的信息资源,全世界今天有160个分部,我们最新统计的电邮列单超过2万个,如果你送一个E-mail给OWASP,2万个邮箱会同时收到。
网站现在有12000多个网页,过去5年之中这些网页已经改动过9200多次,我们网站的访问量已经超过4500万。01年的时候OWASP我们就那么几个人,还在想怎么样可以提高网站的流量,现在想想我有点沾沾自喜。了解OWASP的原则就是为了了解OWASP的未来走向和确保你参加OWASP这个生态系统获得成功的关键。那么OWASP的原则是什么东西呢?就是免费跟开源,而且依照粗略的共识和运行规则来管理,遵守职业道德,非盈利,不以商业利益为驱动 ,具体途径是以分析风险来做起。这些指导原则使我们这个成熟的知识库能够在世界各地广为尊重,我们以后需要你们来帮我们坚持这个原则。
OWASP的财富是会员们共同积累的指导材料、书、工具,如果你还没看过OWASP项目的话我建议你去网站看一看,我希望你把所有的文档都翻译成中文。经常有人问我这个问题,就是“OWASP是怎么样运作的?”我想用这样的方式描述OWASP的管理方式,有一个地方峰会,有一个带头人,同时有一群愿意合作的伙伴,然后峰会会扩展,越来越多的人会发现峰会定期会议的价值,然后几个碰头在一起,一个合作项目往往就这样产生了。然后在地方峰会上讨论和协同这个工作,大家决定几个人到底谁来做、做什么项目、什么时候做、怎么样做。
像我们这样一个全球性的组织会由地区差异造成一些问题,有文化、政治等等方面的障碍,为了我们这个组织的发展,08年我倡导建立了被称为全球委员会的机构,宗旨是召集世界各地带头人代表OWASP的每一个区域,现在有7个全球委员会,是项目委员会,会员委员会,教育委员会、行业委员会、联络委员会。每一个地区都应该在委员会上有他们的代表,这些代表继续推动OWASP在那个地区的发展。比如亚太地区,我们需要更多的中国人参与,OWASP属于整个世界。如果你们有兴趣的话,请在会议期间找我,把你们的名片转交给我。去年我们举行了一次选举 ,有4个人要参选OWASP基金会,其中有两个人获选了,如果你想参选基金会的话,唯一的要求就是你在这7个全球委员会里面曾经贡献过。每一个志愿者都是百分之一百的志愿者,没有一个人领取OWASP的一分钱。OWASP志愿者只有3个人是拿薪水的,他们担负了一个繁重的工作维持这个庞大的全球组织的运行。
OWASP是在美国注册 的一个叫5013C的非盈利公司,OWASP是非盈利的、完全透明的,比如它的所有财政支出你都可以在网上看得到。比如09年它的收入是这个数字,支出主要是雇员的薪水 。09年收入主要是来源于会员的会费,OWASP有2000个会员,还有一些企业会员,会员是50块的年费,企业是5000块的年费,有时候开这样的国际会议也有盈余,那也算OWASP的收入。在09年的经济条件下看得出来有点入不敷出的感觉,但是09年我们能够做到这样已经很不错了,而且我们总结了经验,在今年开始精简OWASP的支出,而且会员的数目也急剧上升,所以OWASP以后的财政情况会改善。
OWASP基金会每年会举行一次特别的峰会,这个峰会是让那些所有的项目带头人、分部带头人和委员会的人,让大家在一个地方花几天的时间做一个(英文),基金会会负担一部分的旅行费用,是作为基金会感谢这些志愿者的辛勤劳动。08年在葡萄牙开了第一次,09年在美国,今年会在葡萄牙开。我很希望有一天峰会会在中国开,我觉得你们会让我这个愿望得以实现。如果你现在已经是会员的话,那我鼓励你邀请的你同事也加入OWASP,我们是一个具有世界公认的名称和项目,应该说没有任何东西可以阻碍你去参加OWASP,我们的资料是开源的,任何人都可以成立一个分部或者加入一个分部,分部有些人就是十个或者更少,从两三个人开始,有些发展到1300多人。如果你在大学工作的话,我希望你用这个信息来增进学生学习内容,你也可以用工具项目来提高大学对应用安全的意识。在座的有些都是从事软件测试或者开发的,大家都会有一些心得,知道什么东西有用、什么东西没有用,你愿不愿意把你的这个心得跟下一代分享呢?
我相信教育对软件使用的持续增长是非常关键的,天生有漏洞的软件每天都在产生,有好些大学已经把OWASP引入它们的教材 ,它们正在把OWASP的价值观教给大学生,这里有大学生吗?如果你们想在这个表上看到你们的大学的话可以尽快行动。OWASP的生态系统是由人、流程、技术三样东西组成的,现在全球各地都有机构了解我们的价值观和支持我们的使命,最近微软也成为了支持我们的一个单位。但是每一天你的父母、你的朋友、你的家人、你的同事都在使用WEB应用程序,每一天我们都听到网站受到攻击、数据给丢了、隐私被暴露了等等这样的消息,WEB应用程序的可用性和可靠性都正在受到严重的威胁。(英文)上面有数以千计的网站都给攻击了,里面包括家喻户晓的像google、IBM这样的大公司,这些公司并不是不注意应用安全的,它们已经有一定的措施,但这样的事情仍然发生。那你觉得我们是输了这场战役吗?到底是我们只输了一场战役还是我们整场战争都输了?到底有没有赢的希望?OWASP的教育对软件开发者、对企业、对检测机构到底有没有帮助?
软件在人类的生活中变的越来越重要,而且软件越来越复杂,但是我们不能没有软件,我们不能离开它,所以OWASP有一个宏伟的目标,就是要唤醒所有的软件开发者,帮助他们写那个坚固的代码,因为我们的社会将来要依赖于这种坚固的代码。我想代表基金会感谢您来参加这次活动,我对您的反馈非常感兴趣,所以开会期间你可以直接找我。我还想特别感谢组织这次会议的组织者和地方分部的代表,他们做了大量的工作,希望大家给他们热烈的掌声表示感谢。
我非常希望跟大家有一个互动,所以如果大家有任何问题现在可以提出来,关于OWASP的运作,关于来这里的目的和其他国家是怎么做的,可以随便提问题也可以找中国地区带头人。
