Dag 1

Dagen började med ett öppningsanförande utav Craig Hayman som är Vice precident för IBM:s WebSphere division. Han började med att påtalade vikten av att kunna hantera förändringar. Han drog paralleller med det amerikanska valet där "change" var det vinnande budskapet.

Enligt en undersökning bland 1100 CIO:s över hela världen så svarade 83% att man ska genomföra omfattande ändringar i sina IT-system och 98% planerade att göra ändringar i sina affärsmodeller. Att ha en infrastruktur som kan hantera förändringar blir därför mer och mer viktigt och det är där IBM:s WebSphere produkter kommer in. TADA!

Efter det första passet så gick jag på föredraget Top Ten Web Application Attacks. Danny Allan från IBM:s säkerhetsteam höll i föredraget på ett strålande sätt och gick igenom OWASP topp tio vanligaste sårbarheter i webbapplikationer. Han hade ett antal bra demonstrationer är han visade på sårbarheter kring cross site scripting, SQL injection och cross site request forgery. För mig var dessa sårbarheter inga nyheter men det som var intressant var att det var nyheter för många av de övriga deltagarna och flera var mycket bekymrade efteråt. En bekymrad äldre man som jobbade på någon bank i tyskland gick efter presentationen fram till föreläsaren och undrade om inte IBM hade någon bra produkt som han bara kunde köpa och installera för att skydda sig mot sårbarheterna, tyvärr så hade inte ens IBM en sådan produkt :-)

Danny hade en hel del statistik där han bl.a. visade att över 80% av alla attacker görs genom att bara ladda ner ett eller två verktyg från Internet och sedan utföra attacken, d.v.s. den som attackerar behöver ingen säkerhetskunskap för att utföra attackerna. Han hade också statistik från en rapport på att 73% av attackerna kommer utifrån och att 18% utfördes från insidan, däremot så är de interna attackerna betydligt kostsammare och ger åtkomst till mer känslig information.

Jag tyckte det var kul att höra att Danny och hans säkerhetsteam jobbade för Rational, vilket är IBM:s division för utvecklingsverktyg. Som han själv sa det så är det ju under utvecklingen av applikationerna som säkerhetstänket måste komma in för att få en säker applikation och det verkar IBM tagit fasta på. Tyvärr hann föreläsaren inte gå in på IBM:s verktyg Rational AppScan vilket jag hade hoppats få höra mer om.

Senare under eftermiddagen blev jag uppdaterad på det senaste kring WebSphere Application Server v7.0. Nya versioner av WAS kommer att komma ut ungefär vartannat år och däremellan kommer det att komma "feature packs". Till version 7 kommer det att finnas två feature packs; SCA och Web 2.0. Det som är nytt i WAS 7 är att den är JEE 5 certifierad och körs på JSE 6 samt har stöd för den nya Portlet specifikationen JSR 286.

Utöver stöd för nya Java specifikationer har man jobbat en hel del med prestanda och framförallt kring Web Services där version 7 ska vara 40-100% snabbare än den tidigare versionen. Andra förbättringar är snabbare uppstart av servern samt mindre minnesförbrukning vilket ju är två förbättringar som är mycket välkomna.

Vad gäller nyheter för WebSphere MQ version 7 så är det framförallt JMS-prestandan som har blivit betydligt bättre. Till nyheterna hör även förenklad konfiguration med hjälp av grafiska verktyg för att konfigurera JMS samt Publish/Subscribe. En annan intressant nyhet är att MQ får Web 2.0 stöd i form av att det ska vara enkelt att konfigurera sina köer så att de får ett REST-gränssnitt. Det kommer med andra ord vara möjligt att på ett enkelt och smidigt sätt komma åt meddelanden på en kö utan att behöva lära sig JMS. Det känns verkligen som IBM är helt rätt ute vad gäller deras MQ-produkt.

WebSphere MQ File Transfer Edition är en ny produkt i WebSphere-familjen som IBM är mycket stolt över. Det produkten gör är att istället för att skicka filer via t.ex. ftp så skickas filen som meddelande på en WebSphere MQ kö och man får på så sätt bättre tillförlitlighet, övervakning och säkerhet kring överföringen. Ingen raketforskning precis men det verkar vara ett behov som finns i många företag och vettig filöverföring är ju något som inte borde vara omöjligt 2008.