中国软件安全峰会 - 个人笔记

前一阵子提到11月份会参加几个若干和安全有关的会议。<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

第一个会议。2008中国软件安全峰会，http://www.sinoit.org.cn/，电子工业出版社主办。

下面是我对一些讲座的个人笔记，供大家参考。许多讲座的PPT可以下载。

计算机病毒的发展趋势与反病毒产品测试

国家计算机病毒应急处理中心副主任 陈建民

提到目前在攻击者网路流量统计的网站上挂马。因为大量网站都依赖于流量网站的脚步来统计，一旦成功在流量网站上挂马成功的话，那么这个木马的曝光率就是非常高了。

国内外软件漏洞处理概况

国家互联网应急中心（CNCERT/CC）运行部副主任 周勇林

提到了今年三个重要的安全漏洞。DNS安全漏洞（Dan Kaminsky）, MS08-067安全漏洞，和一个还没有公布的关于TCP/IP的安全漏洞（CNCERT尚不了解漏洞的详细信息）。提到了计划创建一个和美国日本类似的CVE漏洞数据库计划。这对追踪和管理尤其是国产软件的安全漏洞是非常有用的。

Web 2.0时代的网络安全

奇虎公司董事长助理 石晓虹

其中提到的通过社区反馈来评估URL和软件好坏的思想。这一点和目前流行的Reputation Service（声誉服务）类似。

Business Software Assurance（软件安全保证体系）

Fortify亚太地区Practice Director，Justin Derry

提出software assurance maturity模型。 The http is http://www.opensamm.org/Home.html 。计划将这个模式变为ISO标准？和微软的SDL的区别在那？

漫谈虚拟机技术安全

McAfee研究员 孙冰

孙冰是研究虚拟机的大拿了。和他聊了一下，估计很快就要研究微软的Hyper-V了。

Fuzz技术与软件安全性测试

著名软件安全专家 王清

Peach看来使用的是越来越多了。Smart智能fuzz肯定是以后发展的方向。Dumb fuzz的空间已经不大了。

微软安全信息报告第五集 ——中国安全近况概述

微软大中华区首席安全顾问 江明灶

里面有专门关于中国地区的基于浏览器的安全漏洞的统计数据。还是非常有意思的。

由于时间冲突，没能够听到看雪论坛的关于加密技术的讲座，非常可惜。