中國軟體安全峰會 – 個人筆記

前一陣子提到11月份會參加幾個若干和安全有關的會議。

 

第一個會議。2008中國軟體安全峰會，http://www.sinoit.org.cn/，電子工業出版社主辦。

 

下面是我對一些講座的個人筆記，供大家參考。許多講座的PPT可以下載。

 

電腦病毒的發展趨勢與反病毒產品測試

國家電腦病毒應急處理中心副主任 陳建民

 

提到目前在攻擊者網路流量統計的網站上掛馬。因為大量網站都依賴於流量網站的腳步來統計，一旦成功在流量網站上掛馬成功的話，那麼這個木馬的曝光率就是非常高了。

 

國內外軟體漏洞處理概況

國家互連網應急中心（CNCERT/CC）運行部副主任 周勇林

 

提到了今年三個重要的安全性漏洞。DNS安全性漏洞（Dan Kaminsky）, MS08-067安全性漏洞，和一個還沒有公布的關於TCP/IP的安全性漏洞（CNCERT尚不瞭解漏洞的詳細資料）。提到了計劃建立一個和美國日本類似的CVE漏洞資料庫計劃。這對追蹤和管理尤其是國產軟體的安全性漏洞是非常有用的。

 

Web 2.0時代的網路安全

奇虎公司董事長助理 石曉虹

 

其中提到的通過社區反饋來評估URL和軟體好壞的思想。這一點和目前流行的Reputation Service（聲譽服務）類似。

 

Business Software Assurance（軟體安全保證體系）

Fortify亞太地區Practice Director，Justin Derry

 

提出software assurance maturity模型。 The http is http://www.opensamm.org/Home.html 。計劃將這個模式變為ISO標準？和微軟的SDL的區別在那？

 

漫談虛擬機器技術安全

McAfee研究員 孫冰

 

孫冰是研究虛擬機器的大拿了。和他聊了一下，估計很快就要研究微軟的Hyper-V了。

 

Fuzz技術與軟體安全性測試

著名軟體安全專家 王清

 

Peach看來使用的是越來越多了。Smart智能fuzz肯定是以後發展的方向。Dumb fuzz的空間已經不大了。

 

微軟安全資訊報告第五集 ——中國安全近況概述

微軟大中華區首席安全顧問 江明灶

 

裡面有專門關於中國地區的基於瀏覽器的安全性漏洞的統計資料。還是非常有意思的。

 

由於時間衝突，沒能夠聽到看雪論壇的關於加密技術的講座，非常可惜。