演讲者结合20多年国内外信息安全从业经验，对前瞻性创新安全技术作出持续的研究, 分析不同安全方案的成长与变化历程。 结合传统的纵深安全防御模型 和 SSDLC（安全软件研发生命周期）对主流安全防护技术的优劣势做总结，进一步分析与DevSecOps如何更完美的融合协作。 其中，涉及到主要的传统与前瞻性创新安全防护技术集成分析 - 包括传统的周边安全防御体系 至 最新的应用安全自我防御体系

目前大多数甲方安全还停留在守护安全边界的阶段，寄希望于传统的防火墙、IPS、WAF，通过串行在安全边界设备上分析单向的流量来检测、阻断网络威胁。但事实上，黑客通过简单的乱序、编码、加密即可轻松绕过这些安全部署。 另一方面，由于基于大量静态规则，并且没有很好地与资产关联，导致大量的误报漏报，让安全工程师淹没在海量报警中。而大量串行设备本身，对网络吞吐、稳定性也构成了很大的挑战。 我们希望

在2015年底，我们针对大部分常见的商业和开源WAFs展开了密集测试。我们测试了基于网络和基于主机的网络应用程序防火墙，在实验室里，我们的团队测试人员尝试搜索容易被网络应用程序保护的漏洞。我们把这些产品测试置于OWASP10大标准之下，试图绕过它们的攻击来检测算法。尽管我们预期WAFs能够在某些情境下表现良好，但还是好奇它们如何处理一些特定的攻击情景。当指定的一个WAF测试失败之后，我们会联系供应

本次演讲是关于最新版的OWASP CISO调查报告项目，该项目是基于对全球数百位CISO和高级安全经理的调查数据而编译而成的。OWASP CISO调查报告包含最新安全行业趋势和安全风险 该目标是给高级管理者们提供关于应用程序和网络安全方面的战术情报、指引和最佳的实践方法。随着不断演变的威胁环境危及绑定的敏感数据和公司信息的网络应用程序，CISO们将面临如何最好地减轻这些风险的挑战。通常情况下

“云计算机”和“大数据”这些新技术是否给安全测试人员带来了新的挑战？ 在本次演讲中，我将会给大家演示如何对Hadoop进行渗透测试，它并没有和其他应用程序有多大区别。除了其安装的复杂性和多数量的接口, 可以使用常规测试技巧对其进行测试，包括:web应用程序漏洞、SSL安全、静态加密, 过时的漏洞库和最小特权准则。 我们对流行的Hadoop环境进行了测试，发现了某些关键性漏洞。这对于大数

OWASP Mobile Top 10 2016正式发布。 OWASP移动团队一直在努力改进移动安全标准。OWASP移动项目高度专注于提高Android、iOS和Windows等平台的移动应用程序的安全性。OWASP Mobile Top 10 2016版本更倾向于移动移动应用程序，而不是服务器。2016版本新增了跟物联网相关的“M10：无关的功能“。 我们也正在增加移动应用自我修的相关内容