9月17日，“金融專場安全技術沙龍”在深圳市福田區(qū)的大中華國際金融中心成功舉行。本次沙龍是2018年深圳網(wǎng)宣周系列活動之一，由深圳市互聯(lián)網(wǎng)信息辦公室主辦，深圳市網(wǎng)絡與信息安全行業(yè)協(xié)會、OWASP中國和應用安全聯(lián)盟ASC聯(lián)合承辦。

沙龍邀請到來自平安金融安全研究院、晨星資訊、魔方安全、SecZone開源網(wǎng)安等多位金融行業(yè)和軟件安全領域的技術專家，在應用軟件業(yè)務邏輯安全、DevSecOps、S-SDLC等方面做了深入分析講解。吸引平安科技、廈門國際銀行、小牛普惠、微眾銀行、順豐速運、盒子科技、中興網(wǎng)信等廣東及周邊區(qū)域知名企業(yè)人員及我市市民參與。

邱菁萍：平安金融發(fā)布OWASP中國發(fā)布自動化威脅項目

OWASP自動化威脅項目（OWASP Automated Threats Project）是OWASP中國在2018年啟動的本土化研究項目，由平安金融安全研究院和互聯(lián)網(wǎng)安全研究中心聯(lián)合開展，該項目能夠從150余種信息來源中，讀取并篩選出相關的威脅信息，最終總結出21個威脅事件，探究自動威脅的癥狀、緩解措施和控制方法。據(jù)邱菁萍研究員介紹，該項目已成為在檢測和減輕惡意WEB自動威脅方面的行業(yè)標準，將為開發(fā)人員、架構師、運營商、安全工程師、采購商和供應商等提供一種通用語言，以促進溝通和解決實際問題。

夏天澤：自動化威脅利用挑戰(zhàn)下的金融業(yè)務安全淺析

SecZone開源網(wǎng)安首席戰(zhàn)略官（CSO）、OWASP S-SDLC項目負責人之一夏天澤先生結合《OWASP自動化威脅手冊》的內容，分享了對自動化威脅進行分類和解決的方法，并提出金融行業(yè)應對自動化威脅的正確解決方案，即可以從軟件開發(fā)的源頭保障軟件產(chǎn)品的安全的“軟件安全開發(fā)生命周期（S-SDLC）解決方案”。而SecZone開源網(wǎng)安自主研發(fā)的VulHunter灰盒安全測試工具，能夠幫助軟件研發(fā)部門快速建立并落地實施軟件安全開發(fā)流程，構建安全可靠的軟件產(chǎn)品。

李俊：金融業(yè)務上線前后的漏洞管理實踐

來自魔方安全的高級安全顧問李俊先生從業(yè)務視角出發(fā)，分析業(yè)務漏洞帶來的挑戰(zhàn)，分享了金融業(yè)務上線前后的漏洞管理實踐與經(jīng)驗。

肖文棣：DevSecOps最佳實踐探索

來自晨星資訊（深圳）有限公司的安全架構師、OWASP中國資深會員肖文棣先生則在闡析DevSecOps和DevOps、S-SDL之間聯(lián)系的基礎上，通過自身的落地實踐經(jīng)驗，分享了S-SDLC向DevSecOps的演化經(jīng)驗，并總結了金融行業(yè)如何將DevSecOps落地的經(jīng)驗。

神秘嘉賓：安全運維自動化SOAR

作為驚喜之一，現(xiàn)場還邀請到了一位神秘嘉賓為大家分享了SOAR新技術。據(jù)該嘉賓介紹，SOAR的全稱是安全編排及自動化響應，是近兩年Gartner提出的新技術，也是安全運維未來的方向，SOAR能連接各種安全工具系統(tǒng)，并使之協(xié)同工作，以此為基礎實現(xiàn)響應過程的自動化，提升安全運維效率。

本次金融行業(yè)論壇探討了金融行業(yè)前沿的軟件安全開發(fā)技術和最佳實踐，同時從應用安全的角度為金融行業(yè)的網(wǎng)絡安全提供了新技術與新思路。承辦方深圳市網(wǎng)絡與信息安全行業(yè)協(xié)會表示，金融行業(yè)是以信息安全為生命的特殊公共行業(yè)，沙龍交流有利于強化金融行業(yè)網(wǎng)絡安全管理，保障市民的資金及個人信息安全。未來，協(xié)會將在市網(wǎng)信辦的指導下，聯(lián)合各方面力量，共同舉辦更多針對不同行業(yè)的網(wǎng)絡安全沙龍，共促我各領域網(wǎng)絡安全整體管理水平的提升。