2019年1月30日 - 今天芝加哥的天气寒冷刺骨,据新闻报告,甚至比珠穆朗玛峰还要冷 - 所以这是一个完美的日子,呆在温暖的建筑里,坐在你的机器前参加一个(抱歉,坏的珠峰笑话)峰会!
Joomla 安全打击团队(JSST)受邀派遣代表团参加由谷歌组织并在芝加哥举行的CMS安全峰会。JSST领导David Jardin和Tobias Zulauf抓住这个机会,前往伊利诺伊州,与其他CMS的安全团队负责人、网站托管商以及当然还有一群代表公司各种项目和倡议的谷歌人进行会面。
与其他同行CMS(WordPress、TYPO3和Drupal)以及其他生态系统的参与者(如Symfony的安全负责人)面对面交流对我们来说是一次非常宝贵的经历。IT安全领域的工作在许多不同的方面基于“信任”,因此与其他安全人员建立个人关系,建立 precisely 这种信任将在未来的跨项目沟通中非常有帮助。
除了这些较为“隐含”的结果外,我们还确定了各种具体问题,这些问题影响了我们所有人,跨项目协作将非常有益。
- 与网站托管商合作在服务器端过滤安全漏洞
- 构建对CSP友好的项目以防止XSS攻击
- 实现内置在浏览器中的最新安全功能,如Feature policy来禁用网站未使用的浏览器特定功能
- 使用SameSite Cookies
- 启动有关安全自动更新机制要求的倡议
- 推进全行业的标准,如PSR-9(安全通知)和PRS-10(安全报告流程)
- 研究TrustedTypes提案,这也有助于防止XSS攻击。
总体来说,这是一个非常棒的活动,为我们所有用户提供了更好的安全保障,并促进了跨行业之间关于网络安全合作的进一步发展。
我们非常感谢Google的邀请和完美的组织工作,同时也感谢其他与会者如此出色的峰会和许多积极有益的讨论。我们期待着更多类似的活动和跨行业合作,这将惠及我们所有的用户。
