研讨会目标
万维网是应用程序开发和提供服务最广泛使用的平台。其广泛分布性、非针对性和可塑造性的本质,以及甚少摩擦,在展示独特优势的同时,也带来了巨大的挑战,尤其是在安全方面。应用程序中的安全漏洞会被网络不良使用者利用。当应用程序在云服务提供商、网络和浏览器的异构环境中的 web 上使用时,利用这些漏洞的可能性会增加。不安全的 web 应用程序可能成为恶意软件、侵犯隐私、敲诈勒索和意外监视的工具载体。
最近人们趋向于更安全的软件开发和部署平台。因此为了增强安全性,web 平台技术中还添加了许多新功能和技术规范,然而,这些成果有时并没有关联起来,导致缺乏对 Web 开发人员在安全风险、缓解措施,以及确保应用安全方面应该发挥作用的明确指导。
研讨会预期结果:
- 识别对 web 开发人员有用的文档,以帮助他们更好地利用现有 web 安全技术;
- 确定常用数据库中哪些内容需要更新;
- 描述常用编程语言中潜在的新 web 功能或新语言特性;
- 希望更新常用的 web 标准 APIs;
- web 标准和开源安全方案之间如何协作;
- 计划制定针对 web 开发人员有关安全问题的简要指南。
研讨会将涵盖以下话题:
- 如何将 “保护软件供应链安全” 引入 Web 开发社区?
- 如何为在不同堆栈层级工作的各类 Web 开发人员提供指导?
- 如何让新兴的 Web 应用安全标准和技术更容易为 Web 开发者所用?
- 以开源安全为重点的工作如何更好地支持 Web 开发者社区?
- 开源安全审查过程如何对 Web 规范的审阅给予启发?
时间与地点
研讨会将于9月26-28日在线召开。
重要时间节点
研讨会将于9月26-28日召开,每天进行两小时的在线实时讨论。
- 8月31日前提交演讲陈述
- 8月4日发送参会邀请
- 8月25日发布会议议程
- 9月27-28日召开研讨会
项目委员会
- Dan Appelquist (Snyk) - 项目委员会主席
- Hadley Beeman (TAG)
- Harold Blankenship (OWASP)
- Jory Burson (OpenJS)
- François Daoust (W3C)
- Robin Ginn (OpenJS)
- Dominique Hazael-Massieux (W3C)
- Arnaud Le Hors (IBM)
- Christopher Robinson (Intel, OpenSSF)
- Mike West (Google)
- Vandana Verma Sehgal (OWASP)
W3C 是什么?
万维网联盟(W3C)是通过制定技术标准和指南,确保 Web 对全球所有人保持开放、可访问和可互操作,实现尽展 Web 无限潜能的使命。W3C 众所周知的标准 HTML 和 CSS 是建立网站的基础技术。W3C 致力于确保所有基础的 Web 技术可以满足人们在可访问性、国际化、安全性和隐私等领域的需求。W3C 还在娱乐、通信、数字出版和金融服务等领域,利用 Web 为现代企业提供基础设施建设。W3C 的标准制定是公开的,免费提供的,并遵循开创性的 W3C 专利政策。
W3C 的愿景是“One Web”,汇集了数千名专业技术人员,他们代表着400多个会员组织和十多个行业领域。W3C 是一家在美国注册成立的公益非营利组织,由董事会领导,拥有来自世界各地的员工。
OWASP 是谁?
开放全球应用程序安全项目®(OWASP)是一个致力于提高软件安全性的非营利性基金会,通过社区成员进行开源软件项目、全球数百个代表处、数万名会员,主导教育和培训会议,OWASP 基金会是开发人员和技术人员保护网络安全的平台。
什么是 OpenJS 基金会?
OpenJS 基金会是影响力很大的、供应链关键开源 JavaScript 项目的发源地,包括 Electron、jQuery、Node.js 等。其使命是通过作为一个中立的组织来负责托管项目,以及共同资助有利于整个生态系统的活动,从而帮助支持 JavaScript 和 web 技术的健康发展。
什么是 OpenSSF?
开源安全基金会(OpenSSF)是一个跨行业组织,它汇集了业界最重要的开源安全倡议以及支持它们的个人和公司。OpenSSF 致力于与上游和现有社区合作,向所有人推广开源安全。