代码分析技术是甲方应用安全里非常重要的一项安全问题发现手段，但是在传统应用安全建设中，技术的落地往往存在一些如：白盒误报运营成本高、SCA无法证明漏洞可利用性、单项产品能力存在瓶颈等落地难题。本次议题主要介绍58集团在代码分析技术上的一些优秀实践及架构设计。 - 代码分析安全应用 - 甲方代码分析困境 - 静态分析落地难题 - 软件成分可利用性难题 -

本次分享分别从IAST检测原理，洞态IAST架构设计出发，阐述安全人员如何通过运营洞态IAST，完善 IAST 的检测能力，黑盒、白盒做旁路检测/辅助检测，实现自动化的检测并保证检出率、准确率，减少重复性的人工成本投入。 - 1> IAST检测原理 - 2> 洞态IAST架构设计 - 3> 灰盒、黑盒、白盒共建DevSecOps - 4> 部署与落地

本议题主要介绍API 安全的发展现状、快手API 安全的痛点难点及对应的解决方案。个人觉得2021年OWASP TOP 10更加符合甲方现状，像前五大风险：越权、加密失败、注入、不安全设计和不安全配置。那这些痛点应该如何解决呢？传统的应用安全三板斧还有效吗？还需要引入其他应用安全能力吗？本议题将详细一一解析。 - OWASP TOP 10 - API 安全痛点 - API 安全收

本次汇报主要包含，营销活动威胁及反作弊体系搭建，虚假裂变反作弊实战，大型营销活动反作弊实战三个部分。 - 营销活动和反作弊 - 裂变反作弊实战 - 大型活动实战经验

互联网类业务蓬勃发展同时，黑灰产亦壮大，业务安全问题一直如影随形，且斗智斗勇、对抗激烈。终端作为互联网业务的起点，亦是业务风控中的起点，在与黑灰产羊毛党的对抗中，终端风控必不可少。在满足数据安全与隐私合规下，我们如何采用一系列技术变革，合法合规识别打击黑灰产羊毛… - 01 终端风控的对抗体系 - 02 设备指纹的对抗之道 - 03 设备指纹的对抗实践 - 04 合规挑战的适应

浅谈当下企业从常规漏洞发现到基于业务场景漏洞挖掘的转变和业务可能会面临的风险，结合业务漏洞挖掘案例，分享一个甲方安全工程师的一些经验、思考和体会，希望对大家有所帮助。