如果没有一个理论性的指导，仅从局部看问题，那么企业或者政府部门的Web安全管理者面对诸多安全漏洞会疑惑重重。开放式Web应用程序安全项目OWASP (Open Web Application Security Project)作为一个开源的、非盈利的全球性安全组织，一直致力于Web安全的研究。OWASP旨在帮助企业和组织对防御应用安全风险作出更清晰的决策，其在全球范围内提供的Web安全培训项目及研究成果，尤其是TOP10安全威胁排名对于Web安全具有最为权威的指导意义，已成为业内指导Web安全和修复Web漏洞的重要依据。

　　近日，OWASP中国区主席Rip Tom及北京区负责人陈亮先生接受了本报记者的独家专访。Rip主席介绍了OWASP成立的初衷，OWASP中国为Web安全所作出的贡献，国内应用安全的现状及OWASP中国的研究成果等。

　　陈亮介绍到，OWASP中国目前正在开展的工作主要是应用安全以及已经成形尚未发布的Mobile Top 10。众所周知，随着移动互联网的发展，移动终端呈指数增长，移动办公在带来快捷、灵活高效的同时，也潜藏着定时炸弹，用户无时无刻不在受到潜在的安全风险和威胁。BYOD和BYON(Bring your Own Network)所带来的安全隐患让广大移动互联网用户如履薄冰。层出不穷的泄密事件无不加重了人们对移动安全的担忧。正是针对此种现状，OWASP中国在国外研究人员的前期配合下，对Mobile Top 10展开了深入研究，旨在为移动互联网用户提供可靠的移动安全参考。

　　此外，2013年CMS开源发布系统的诸多漏洞被披露，360网站安全检测平台曝光了多起CMS高危漏洞事件，黑客可利用该漏洞入侵网站，任意篡改页面、盗取用户资料等。对此，陈亮认为漏洞的根源在于企业过分热衷于应用的上线，而往往忽略了软件自身的安全性。从目前案例来看，各Web安全管理人员并未掌握从SDL到代码安全测试、渗透性测试等各环节的应对技巧。而OWASP中国的一个重要项目就是认证Web应用安全专家CWASP (Certified Web Application Security Professional)，被认为是业界首个理论与实践相结合的培训认证体系。来自各大安全厂商、互联网安全研究中心及第三方机构的安全专家，根据其各自所在行业的安全经验，结合OWASP最佳安全实践，以安全开发生命周期为模型设计开发了CWASP。课程体系覆盖了应用安全技术的七大领域，主要面向高端企业用户。

　　谈及对于CMS开源发布系统更深入的看法，陈亮认为，开源有开源的美，但它无疑也向那些计划发起漏洞攻击、试图用开源软件为所欲为的人敞开了大门。但是，开源的目录结构是一样的，很容易猜测，甚至可以下载到攻击者想要的数据库。中国目前的开放源码系统存在的最大问题在于，懂开发的人未必懂安全。理论上任何人都可以检查所有的软件代码，但实际中限于个人精力和能力，经过专业安全检查的软件只是少数。大多数开发者分析源代码是出于自身需要，常常无暇检查与自身工作无关的代码。因此，有能力的企业必须具备一支安全队伍，技术人员掌握渗透性测试的方法。相应的对策是进一步完善开源社区的开发机制，努力建设好全面、严格的检查机制，并做好文档完整性管理，促进检查的深入进行。

　　此外，现实中不可能期待代码检查者的技能总是会高过代码编写者，所以一些错误在有限的检测中很难被发现。实际上，大多数错误都是在代码已经编译、测试并分发后才被发现，在实际使用中才暴露出来的。开放源码的程序通常依赖于用户报告和公共论坛来发现错误，而不是派人提前查看代码的漏洞。因此，仍然要加强开源社区的培训机制，提高全体开发者的专业技能，并鼓励更多的人来参与发布前的代码检查测试，争取可以尽早发现漏洞。

　　开源软件是否安全可用，最终取决于开放源码这种形式是否安全。如系统本身不安全，开源软件的可用性就将大打折扣，再奢谈其他问题也就毫无意义了。开源软件自诞生之日起就一直非常活跃地发展变化，其安全性能的提升也受到了极大的关注，成为变化焦点之一。开源软件安全性能在众多开发者的推动下不断完善，促进了开源软件在更大领域的广泛应用。

　　从2010年在北京举办的1000人规模的亚太峰会增至2013年的3000人规模，更多的企业信息安全公司以及第三方机构加入OWASP中国。Rip表示，未来OWASP中国将继续走多维发展思路，以安全领域和基础领域为契机，推动资源池、安全培训和企业技术合作。