Loading…
This event has ended. View the official site or create your own event + mobile app → Check it out
This event has ended. Create your own
Join us at OWASP AppSec APAC 2014 !!
View analytic
Thursday, March 20 • 2:40pm - 3:30pm
Keynote: Application Security at DevOps Speed and Portfolio Scale

Sign up or log in to save this event to your list and see who's attending!


ソフトウェア開発は新しいプラットフォーム、プログラミング言語、フレームワーク、パラダイム、アジャイルやDevOpsような方法論によって、アプリケーションセキュリティよりもはるかに高速で進んでいる。残念ながら、ソフトウエアの品質保証は時代に追いついていない。
我々のセキュリティ技術の多くは2002年に構築されたソフトウエア開発の方法論を用いて作られている。いくつかの技術や実践方法では、JavaScriptやAjaxや制御の反転パターン(Inversion of Control)やアスペクト指向プログラミングや最新のフレームワーク、ライブラリやSOAPやRESTやWebサービスやXMLやJSONやソケットプログラミングやHTML5やアジャイルやDevOpsやWebSocketやクラウドなどについて現状で最善といえる品質保証を行うことができない。残りの多くの技術は、今現在のソフトウエア開発において核にあたっている。
我々はアプリケーションセキュリティの推進を行なっているが、驚くべきスピードで進化しているソフトウエア開発と比べると進みは遅い。
この遅れのまま10年たった時には、ソフトウェアの品質保証と先端のソフトウエア開発では互換性が無いに等しくなる。
セキュリティツールやアプリケーションのセキュリティ基準はもはや役に立たないだろう。そしてその結果、セキュリティがソフトウエア開発に与える影響はとても小さいものになってしまう。アプリケーションセキュリティに関するコミュニティがソフトウエア開発の要になる方法を理解しない限り,これからも遅れ続けて、ソフトウェアに対して最小限の変更にとどまる影響しか与えないだろう。本講演では、これまでのアプローチとは根本的に異なり、脆弱性の識別やセキュリティアーキテクチャの強化や(これが最重要であるが)アプリケーションセキュリティの価値を生み出すといったことに利用できるリアルタイムのデータ収集を行う装置を用いてIT企業内で計測することについて発表する。最終的な目標としては、アプリケーションセキュリティへの前例のないリアルタイムの可視性によって組織内のアプリケーション全体のポートフォリオが明らかになり、セキュリティに関する全ての利害関係者が協力しあい、事前に対策を講じれるようになることだ。

Software development is moving much faster than application security with new platforms, languages, frameworks, paradigms, and methodologies like Agile and Devops. Unfortunately, software assurance hasn’t kept up with the times.
Forthe most part, our security techniques were built to work with the way software was built in 2002. Here are some of the technologies and practices that today’s best software assurance techniques *can’t* handle: JavaScript, Ajax, inversion of control, aspect-oriented programming, frameworks, libraries, SOAP, REST, web services, XML, JSON, raw sockets, HTML5, Agile, DevOps, WebSocket, Cloud, and more.
All of these rest pretty much at the core of modern software development.
Although we’re making progress in application security, the gains are much slower than the stunning advances in software development.
After 10 years of getting further behind every day, Software *assurance* is now largely incompatible with modern software *development*. It’s not just security tools - application security processes are largely
incompatible as well. And the result is that security has very little
influence on the software trajectory at all. 
Unless the application security community figures out how to be a relevant part of software development, We will continue to lag behind and effect minimal change.
In this talk, I will explore a radically different approach based on instrumenting an entire IT organization
with passive sensors to collect real time data that can be used to identify vulnerabilities, Enhance security architecture, and (most importantly) enable application security to generate value.
The goal is unprecedented real-time visibility into application security across an organization's entire application portfolio, allowing all the stakeholders in security to collaborate and finally become proactive.
Speakers
avatar for Dave Wichers

Dave Wichers

COO, Aspect Security
Dave Wichers is a cofounder and the Chief Operating Officer (COO) of Aspect Security, a company that specializes in application security services. He is also a long time contributor to OWASP including being a member of the OWASP Board since it was formed in 2003. | Dave has over 20 years of experience in the information security field, and has focused exclusively on application security since 1998. At Aspect, in addition to his COO duties, he is Aspect's application security courseware...
Read More →

Thursday March 20, 2014 2:40pm - 3:30pm
Secure Your Site Hall(HALL WEST)

Attendees (18)

Attendance numbers do not account for private attendees. Get there early!


Remove this from your schedule?
This session is full and you may not be able to get back in.
Remove
Cancel