百度技术沙龙第3期回顾：Web安全经验分享（含演示文档下载）

当前，Web安全威胁愈演愈烈，对于用户而言Web安全即是一场灾难，然而对于互联网公司而言Web安全则是很大的挑战。那么在威胁不断加重的Web安全面前，我们应该如何应对？

在6月份的QClub活动暨百度技术沙龙第三期（6月26日）上，InfoQ中文站很荣幸邀请到百度的方小顿以及淘宝的张玉东与大家分享“互联网公司web安全挑战与防护思路浅谈 ”以及“互联网公司推行SDL（Security Development Lifecycle）的经验和教训”两个话题。本文将对他们的演讲内容/本次活动进行一下简单的总结，并为大家提供了演示文档的下载。

Web安全带来的挑战

第一个演讲是由百度的方小顿带来的，他主要介绍了互联网公司的Web安全挑战，并分别从攻击者和防护者的角度对Web安全进行剖析，其中结合了百度在这方面的经验和心得。包括以下内容点：

• Web应用的发展历程
  • 过去、现在、将来，找清楚自己的位置
• 互联网公司Web安全的挑战
  • 什么是Web安全
  • 成百上千的Web应用
  • 成千上万的服务器
  • 开发者与维护者安全意识参差不齐
  • 承受可能来自整个internet的攻击尝试
• 站在攻击者的角度
  • 了解目标公司的网络分布
  • 了解目标网络里的应用分布
  • 深入了解目标网络
  • 尝试网络应用里的各种漏洞
  • 攻击Web应用
  • 由点入面攻击网络
• 站在防护者的角度
  • 问自己几个问题
  • 做好运维管理、上下线流程、日志管理
  • 端口扫描、应用级扫描、应用程序分析
  • 建立网络应用数据库
  • 分析数据库、常见安全漏洞
  • 应用程序监控
  • 做的更多、看得更远

针对大请求，多应用的状况，如何来进行监控，毛小顿强调：

对单一应用或者应用不多的情况下，不建议通过监控的方式来分析，因为大多可能都是单一的post请求，分析起来，没有什么意义。所以，针对这种情况，我们更倾向用其他方式来解决，比如测试、SDL等方式来解决。

在互联网公司推行SDL

SDL（Security Development Lifecycle）在传统软件行业已经日趋成熟，但是在互联网公司中还是一个比较新鲜的概念。淘宝技术保障部技术安全主管张玉东（黄眉）从传统软件行业推行SDL和在互联网公司的区别入手，阐述在互联网公司推行SDL所面临的挑战，分享了他们在推行SDL过程中积累的一些经验教训，内容主要包括：

• SDL的简介
• 与传统软件行业SDL的区别
• 为什么需要SDL
• 威胁建模（方法）
• 推行SDL的困难、挑战和经验

要想推行SDL，沟通是非常重要的，张玉东强调：

这个沟通会涉及到很多方面，比如说，要与所有的开发业务线、产品业务线，这些部门中的负责人达成共识，让他们对SDL认可，这样才能从上往下的去推进。另外一点是，这个流程是不是被大家所接受，也需要沟通。不是说，定一个流程，让大家去做，就可以了。要把这个流程，拿出来，放在大家面前，让大家去PK，提出这个流程会有什么问题，不断的去完善它。最后大家统一了、认可了，就很容易去搞了。

实施SDL必然会增加研发成本，有读者问道，对于小公司，它是否适宜。张玉东解释到：

对于小公司，我的建议是，因为人力成本有限，另外，也不可能做得像大公司那么的标准化，这不单单是安全投入上的成本，流程本身也会增加成本。小公司的开发是很讲究效率的，所以，更应该从技术角度去解决问题，比如增加安全测试、上线之后增加安全扫描和安全监控，这样会比较实用和现实一些，如果想在前期需求和设计阶段，就介入的话，难度会比较大。

本次活动两个演讲的完整视频，稍后就会发布在InfoQ中文站上，敬请期待。

演讲资料下载

本次百度技术沙龙的演讲资料现在已经可以下载。

相关内容

百度技术沙龙（第2期）活动总结（演讲资料下载，视频演讲1，视频演讲2）

百度技术沙龙（第1期）活动总结（演讲资料下载，视频演讲1，视频演讲2）