当下WAF产品百品千条,能力优势各有所长,缺乏行业统一的纬度评价标准。内部产技因难以明确攻防水位,导致WAF产研后的改进方向异常迷茫,客户采购过程因缺少客观评价体系,让购买选择更加艰难。
深圳市开源互联网安全研究中心在OWASP 中国的技术支撑下,为了解决技术、产品、市场的矛盾,启动了中立的、第三方的WAF 产品测评和认证,从技术角度衡量WAF 的合规性、可靠性以及性能,为各家WAF产品能力升级提供可靠建议。从市场的层面,希望帮助用户选择合适的WAF 产品。
目前WAF主要有云WAF、硬件WAF、本地软件WAF三种形态,根据不同形态需要提供不同的部署模式包括云WAF、CNAME等方式进行接入、硬件WAF、本地软件WAF。为迎接云时代的到来,特此集结行业资源,梳理WAF行业标准,举办2021首届WAF攻防大师赛,邀请各形态与部署方式的WAF厂商作为专家组与参赛选手报名,通过参加专家组和攻防大赛,见证本次测试方案的合理性和公平性,目前已邀请阿里云、安恒信息、百度安全、长亭科技、开源网安、360政企安全等业内WAF能力过硬的安全厂商作为专家组成员,校验本次WAF攻防大师行业测试方案的公平性与合理性,并持续吸纳更多专业厂商加入,形成一个专注于WAF能力提成和测评的业内权威组织。
专家组职责:
- 确保测试方案与过程的合理性与公平性
- 按照测试方案提供相应的测试用例,测试用例构建方法不限,需要保证能够在真实环境下能够攻击成功。(本届评比暂不考虑灰样本)
- 交叉审查专家组其他成员提供的测试用例,确保测试用例的合理性。
本次攻防大师赛核心关注点:
- 忽略具体实现的功能细节,只评估最后的防御、拦截、发现结果。
- Web攻击的防御能力从以下三个维度进行评判:泛化防御能力、特化防御能力、误拦截检测
信息公开:
- 公开总共参加的厂商数量,不公开具体参加厂商列表。
- 结果对外仅公布超过一定水位线的厂商名字,但不包含这些厂商的排名、结果数据等等。
- 仅对参赛厂商公开其自有产品的测试结果,包含数据结果、误报漏报详情等等。
(测评具体分数仅通知各参赛厂商,大赛整体结果预计1月中旬会从各维度公布表现突出的代表厂商名单)
12月1日正式开放报名,实测_分,一探究竟!
数说安全
微信扫一扫
评论