【资料报告】W3C 发布 Web 安全技术研讨会报告 from xueyuan on 2024-02-26 (public-chinese-web@w3.org from February 2024)

From: xueyuan <xueyuan@w3.org>
Date: Mon, 26 Feb 2024 11:16:39 +0800
To: public-china <public-china@w3.org>, public-chinese-web <public-chinese-web@w3.org>
Message-ID: <b9c2e957-f4ed-4e0e-8b41-136f64f06ed4@w3.org>
W3C 中国社区成员：
大家好！

W3C 已发布 Web 安全技术研讨会报告：
https://www.w3.org/2023/03/secure-the-web-forward/report.html

本次研讨会探讨了开发人员可用的（已有的、开发中的或提议的）技术状态、指南、工具和文档，旨在保护 
Web 
上部署的应用程序安全并协调相关活动。约三十位与会者参与线上交流，讨论了九份观点文档，涉及三项主题，涵盖供应链安全、JavaScript 
安全、开发者支持。

与会者认为 Web 应用程序以及与安全相关的技术（例如 
CORS、CSP）日益复杂，这些都让开发人员在保护应用安全方面面临着挑战。研讨会重点讨论了：

* 使用 SBOM（某些法规可能要求使用）可以帮助开发人员跟踪安全漏洞。
* 
验证机制（诸如源代码透明度提案）将允许浏览器验证收到的应用程序资源是否与应用开发人员在 
web bundle（捆绑包）或 SBOM 
中公布的资源相匹配，并且能够由安全研究人员进行分析。
* 同时，JavaScript 
执行可以分为多个部分，以隔离第三方代码并保持其权力受到控制。通过 DOM API 
的设计确保万无一失仍然是一个挑战。
* 此外，若处理不当，攻击者可能会针对 Web 应用程序本身操纵同源领域。Web 
应用程序应该能够在加载时控制它们包含的潜在不受信任的代码如何创建或访问同源领域。
* Cookies 是安全漏洞的另一个来源。弃用第三方 cookies 为修正 web cookies 
模型的默认值以提高安全性创造了独特的机会。
* 
无论技术解决方案如何，整合文档资源都是必要的，例如面向开发人员和政策制定者的教程、操作方法、参考、指南和最佳实践等。

基于上述技术主题交流，研讨会提出的后续计划之一是发起一项活动（可能在 W3C 
社区组进行），探索全面的安全方法并与其他组织（包括 OpenSSF、OWASP、OpenJS、 
Open Web Docs、MDN、IETF 等）展开工作协调。这项活动可以开始记录 Web 
上的威胁模型，阐释与安全相关的终端用户故事，进而为标准化组织、开发人员和政策制定者提供信息。

欢迎通过 GitHub 跟进此项活动进展：
https://github.com/w3c/secure-the-web-forward-workshop/issues/42

此外，W3C 衷心感谢本次研讨会的组织委员会、各位讲者、MDN 团队、WebDX 
社区组以及全体与会者的积极参与和大力支持。

如有任何疑问或希望了解更多信息，欢迎随时联系我们！

祝好！
贾雪远

On 2023/9/22 13:37, xueyuan wrote:
> 大家好！
>
> W3C 将于2023年9月26日-28日在线召开 Web 
> 安全技术研讨会（北京时间每晚23:00至次日凌晨01:00）：
> https://www.w3.org/2023/03/secure-the-web-forward/
>
> 会议日程现已发布：
> https://www.w3.org/2023/03/secure-the-web-forward/agenda.html
>
> * 26日主题：供应链安全
> * 27日主题：JavaScript 安全
> * 28日主题：对开发者的支持
>
> 本次研讨会将汇集保护 Web 
> 应用安全相关的标准与最佳实践方面的专家、开源领域安全供应链从业者、专注于安全的倡导者，以及具备采用和部署 
> Web 
> 安全标准和实践经验的开发人员、设计人员和技术人员。研讨会的目标是形成一个全面的路线图，以解决 
> Web 开发人员在确保其应用程序安全方面所面临的挑战。
>
> 研讨会议题涵盖：
> * 如何将 “保护软件供应链安全” 引入 Web 开发社区？
> * 如何为在不同堆栈层级工作的各类 Web 开发人员提供指导？
> * 如何让新兴的 Web 应用安全标准和技术更容易为 Web 开发者所用？
> * 以开源安全为重点的工作如何更好地支持 Web 开发者社区？
> * 开源安全审查过程如何对 Web 规范的审阅给予启发？
>
> 研讨会免费面向公众开放，会议语言为英文。若有意参加本次研讨，欢迎会前发送参会申请邮件（英文）至<group-secure-the-web-forward-ws@w3.org> 
> 提供参会姓名与所属单位信息。
>
> 如有任何疑问或希望了解更多信息，欢迎随时联系我们！
>
> 欢迎关注W3C中国：
> 官网：http://www.chinaw3c.org/
> 微博：http://weibo.com/w3cchina
> 微信：W3C资讯
>
> 祝好！
> 贾雪远
Received on Monday, 26 February 2024 03:16:41 UTC