序号

姓名

介绍

1

王颉

OWASP中国副主席，英国拉夫堡大学网络安全博士，开源网安副总经理。主要研究方向包括软件安全开发全生命周期实时检测防御、威胁分析与建模、网络入侵监测、敏感信息防扩散、企业信息化建设方法等，并长期跟踪和研究OWASP SAMM。

2

宋荆汉

现任网安加学院院长，深圳创新方法研究会理事、创新实干派社区核心创始人。17年研发及管理经验，在中兴通讯、任子行网络，全志科技、汇金科技，担任研发管理高管，曾参与国家软件安全开发相关标准的制定，对软件安全开发有比较深入的研究。

3

马伟

OWASP中国四川区域负责人，思特沃克（ThoughtWorks）中国区信息安全团队负责人，资深安全咨询师。长期专注于应用安全技术与实践，对如何将安全实践融入到敏捷开发之中有深入的研究和实践经验。

4

王晓飞

Global Payments 安全攻防技术负责人，拥有超过10年的信息安全领域工作经验，曾担任过国企、互联网等多个行业的网络安全技术与管理职务，在安全运营、安全服务、SDL等多个安全领域有丰富的实践经验。

5

刘征

Elastic 开发者布道师

DevOps社区组织者，DevOps Handbook和The Site Reliability Workbook译者；精通DevOps/SRE/ITIL等管理体系。致力于推广DevOps/SRE的理念、技术和实践。

6

李威

DevOps教练，GDevOps、TGO鲲鹏会金牌讲师。

曾就职于京东、烽火等互联网企业及传统企业，十年一线开发及运维经验，带领团队从零到一实践DevOps转型。

序号

议题

嘉宾

1

如何让安全不再成为DevOps的“绊脚石”

王晓飞

随着DevOps的逐渐推广实施，如何让安全不再成为DevOps落地的阻力，如何让产品能在安全可控的前提下快速迭代发布，成为公司安全部门绕不开的话题。

本议题基于支付行业的一种落地实践方案，从安全下沉、安全自动化和安全培训三个方面探讨在满足SDL的基础上如何改进安全流程，安全技术和安全工具，以适应快速迭代的开发模型，消除安全和开发运维的隔离，统一关注点，提升团队和产品的效率，形成一种最佳的DevSecOps实践方法，最终达到更快发布和更新产品，并又能把安全嵌入到产品中。

2

用OWASP Dependency Track管理应用依赖安全

马伟

应用程序大量依赖第三方组件或者库，如果它们含有已知安全漏洞，那么应用程序也会受到牵连，因此管理好应用依赖安全不容忽视。OWASP DependencyTrack是OWASP全球的顶级旗舰项目之一。本议题将通过对OWASP DependencyTrack的介绍，和你分享依赖安全管理经验。

3

企业如何进行开源软件治理

李威

随着开源软件的广泛使用，开源软件的治理成为企业的难点，如何在企业内部进行开源软件治理的建设，当一个开源软件爆出了高危漏洞，如何快速定位到漏洞的实际影响范围？如何在规避漏洞风险的同时，不降低研发效率？本次分享讲为大家讲解企业实践开源治理的实际案例，包括开源软件治理的挑战和开源软件治理“四步法”。

4

洞悉安全事态感知和预警平台最佳实践

刘征

近几年来云计算和大数据处理平台在安全信息安全管理方面取得了长足的发展，安全专家们不仅能够迅速的定位安全威胁事件，还可以使能更多团队实现安全管理左移的目标。安全事态感知和预警平台的构建需要精细的规划和打磨才能实现其预期的功效。本次议题将详细介绍当前业界流行的安全攻击和威胁框架，以及如何设计可重复使用的威胁狩猎流程，如何实施基于网络行为特征定义的自动化威胁狩猎。并介绍大数据搜索和规划的挑战和最佳实践做法。