W3C 发布 Web 安全技术研讨会报告

W3C 与 OpenSSF、OWASP 和 OpenJS 于2023年9月联合举办了 Web 安全技术研讨会，本次研讨会报告现已发布。

该报告包含研讨会摘要、现场讨论要点、演讲视频以及后续计划等详细信息。

本次研讨会探讨了开发人员可用的（已有的、开发中的或提议的）技术状态、指南、工具和文档，以保护 Web 上部署的应用程序安全，并协调相关活动。 约三十位与会者参与线上交流，讨论了九份观点文档，涉及三项主题，涵盖：供应链安全（包括软件物料清单，也称为 SBOM）、JavaScript 安全、开发者支持。与会者认为 Web 应用程序以及与安全相关的技术（例如 CORS、CSP）日益复杂，这些都让开发人员在保护应用安全方面面临着挑战。研讨会重点讨论了：

• 使用 SBOM（某些法规可能要求使用）可以帮助开发人员跟踪安全漏洞。
• 验证机制（诸如源代码透明度提案）将允许浏览器验证收到的应用程序资源是否与应用开发人员在 web bundle（捆绑包）或 SBOM 中公布的资源相匹配，并且能够由安全研究人员进行分析。
• 同时，JavaScript 执行可以分为多个部分，以隔离第三方代码并保持其权力受到控制。通过 DOM API 的设计确保万无一失仍然是一个挑战。
• 此外，若处理不当，攻击者可能会针对 Web 应用程序本身操纵同源领域。Web 应用程序应该能够在加载时控制它们包含的潜在不受信任的代码如何创建或访问同源领域。
• Cookies 是安全漏洞的另一个来源。弃用第三方 cookies 为修正 web cookies 模型的默认值以提高安全性创造了独特的机会。
• 无论技术解决方案如何，整合文档资源都是必要的，例如面向开发人员和政策制定者的教程、操作方法、参考、指南和最佳实践等。

基于上述技术主题交流，研讨会提出的后续计划之一是发起一项活动（可能在 W3C 社区组进行），探索全面的安全方法并与其他组织（包括 OpenSSF、OWASP、OpenJS、 Open Web Docs、MDN、IETF 等）展开工作协调。这项活动可以开始记录 Web 上的威胁模型，阐释与安全相关的终端用户故事，进而为标准化组织、开发人员和政策制定者提供信息。欢迎通过 GitHub 跟进此项活动进展。

W3C 在此衷心感谢本次研讨会的组织委员会、各位讲者、MDN 团队、WebDX 社区组以及全体与会者的积极参与和大力支持。