9月17日，“金融專場安全技術(shù)沙龍”在深圳市福田區(qū)的大中華國際金融中心成功舉行。本次沙龍是2018年深圳網(wǎng)宣周系列活動之一，由深圳市互聯(lián)網(wǎng)信息辦公室主辦，深圳市網(wǎng)絡(luò)與信息安全行業(yè)協(xié)會、OWASP中國和應(yīng)用安全聯(lián)盟ASC聯(lián)合承辦。

  沙龍邀請到來自平安金融安全研究院、晨星資訊、魔方安全、SecZone開源網(wǎng)安等多位金融行業(yè)和軟件安全領(lǐng)域的技術(shù)專家，在應(yīng)用軟件業(yè)務(wù)邏輯安全、DevSecOps、S-SDLC等方面做了深入分析講解。吸引平安科技、廈門國際銀行、小牛普惠、微眾銀行、順豐速運(yùn)、盒子科技、中興網(wǎng)信等廣東及周邊區(qū)域知名企業(yè)人員及我市市民參與。

  邱菁萍：平安金融發(fā)布OWASP中國發(fā)布自動化威脅項目

  OWASP自動化威脅項目（OWASP Automated Threats Project）是OWASP中國在2018年啟動的本土化研究項目，由平安金融安全研究院和互聯(lián)網(wǎng)安全研究中心聯(lián)合開展，該項目能夠從150余種信息來源中，讀取并篩選出相關(guān)的威脅信息，最終總結(jié)出21個威脅事件，探究自動威脅的癥狀、緩解措施和控制方法。據(jù)邱菁萍研究員介紹，該項目已成為在檢測和減輕惡意WEB自動威脅方面的行業(yè)標(biāo)準(zhǔn)，將為開發(fā)人員、架構(gòu)師、運(yùn)營商、安全工程師、采購商和供應(yīng)商等提供一種通用語言，以促進(jìn)溝通和解決實(shí)際問題。

  夏天澤：自動化威脅利用挑戰(zhàn)下的金融業(yè)務(wù)安全淺析

  SecZone開源網(wǎng)安首席戰(zhàn)略官（CSO）、OWASP S-SDLC項目負(fù)責(zé)人之一，夏天澤先結(jié)合《OWASP自動化威脅手冊》的內(nèi)容，分享了對自動化威脅進(jìn)行分類和解決的方法，并提出金融行業(yè)應(yīng)對自動化威脅的正確解決方案，即可以從軟件開發(fā)的源頭保障軟件產(chǎn)品的安全的“軟件安全開發(fā)生命周期（S-SDLC）解決方案”。而SecZone開源網(wǎng)安自主研發(fā)的VulHunter灰盒安全測試工具，能夠幫助軟件研發(fā)部門快速建立并落地實(shí)施軟件安全開發(fā)流程，構(gòu)建安全可靠的軟件產(chǎn)品。

  李俊：金融業(yè)務(wù)上線前后的漏洞管理實(shí)踐

  來自魔方安全的高級安全顧問李俊從業(yè)務(wù)視角出發(fā)，分析業(yè)務(wù)漏洞帶來的挑戰(zhàn)，分享了金融業(yè)務(wù)上線前后的漏洞管理實(shí)踐與經(jīng)驗(yàn)，。

  肖文棣：DevSecOps最佳實(shí)踐探索

  來自晨星資訊（深圳）有限公司安全架構(gòu)師、OWASP中國資深會員肖文棣先生則在闡析DevSecOps和DevOps、S-SDL之間聯(lián)系的基礎(chǔ)上，通過自身的落地實(shí)踐經(jīng)驗(yàn)，分享了S-SDLC向DevSecOps的演化經(jīng)驗(yàn)，并總結(jié)了金融行業(yè)如何將DevSecOps落地的經(jīng)驗(yàn)。

  神秘嘉賓：安全運(yùn)維自動化SOAR

  作為驚喜之一，現(xiàn)場還邀請到了一位神秘嘉賓為大家分享了SOAR新技術(shù)。據(jù)該嘉賓介紹，SOAR的全稱是安全編排及自動化響應(yīng)，是近兩年Gartner提出的新技術(shù)，也是安全運(yùn)維未來的方向，SOAR連接各種安全工具系統(tǒng)，并使他們能協(xié)同工作，并以此為基礎(chǔ)實(shí)現(xiàn)響應(yīng)過程的自動化，提升安全運(yùn)維效率。

  本次金融行業(yè)論壇探討了金融行業(yè)前沿的軟件安全開發(fā)技術(shù)和最佳實(shí)踐，同時從應(yīng)用安全的角度為金融行業(yè)的網(wǎng)絡(luò)安全提供了新技術(shù)與新思路。承辦方深圳市網(wǎng)絡(luò)與信息安全行業(yè)協(xié)會表示，金融行業(yè)是以信息安全為生命的特殊公共行業(yè)，通過沙龍交流有利于強(qiáng)化金融行業(yè)網(wǎng)絡(luò)安全管理，保障市民的資金及個人信息安全。未來，協(xié)會將在市網(wǎng)信辦的指導(dǎo)下，聯(lián)合各方面力量，共同舉辦更多針對不同行業(yè)的網(wǎng)絡(luò)安全沙龍，共促我各領(lǐng)域網(wǎng)絡(luò)安全整體管理水平的提升。