Carlos Serrão

as minhas notas e página pessoal…

OWASP Summit chegou ao fim…

| 0 comments

Depois de uma semana de árduo trabalho, mas que deu para aprender bastante assim como para conhecer uma série de pessoas da área de segurança aplicacional de todo Mundo, chegou ao fim o primeiro Summit organizado pelo OWASP e logo no nosso país. Foi um evento bem sucedido, e que cumpriu os seus objectivos principais, e para isso estão de parabéns os seus principais organizadores – Dinis Cruz, Paulo Coimbra e a Kate Hartmann.

Apesar das conclusões oficiais do Summit ainda não estarem publicadas, resolvi eu próprio colocar aqui as minhas próprias conclusões (um pouco tardias, mas pronto).

O evento em si foi um sucesso de participação. Conseguiu reunir num hotel no Algarve, durante uma semana, mais de 80 especialistas na área da Segurança de Aplicações, provenientes de mais de 20 países e dos mais diversos continentes.

Por outro lado, para além das excelentes sessões de trabalho e das diversas sessões de formação, o evento foi igualmente um sucesso do ponto de vista de contactos pessoais, promovendo o contacto directo entre as mais diversas pessoas e permitindo a troca de informações.

Foi igualmente uma surpresa agradável conhecer o Dinis Cruz, um indivíduo cujas “pilhas” jamais se esgotam – quer do ponto de vista da dinamização do trabalho, quer do ponto de vista da dinamização da socialização entre os diversos participantes (jogos de futebol todos os dias depois de dias longos de trabalho, jantares não menos longos e a demonstração de talentos musicais). Fantástico, sem dúvida!!!

Durante esta semana o OWASP produziu uma série de novas ideias. A comunidade OWASP está acrescer a a organizar-se num movimento poderoso que está a afectar o desenvolvimento de software a nível global. Este Summit estabeleceu um marco importante nos esforços de melhoria da segurança aplicacional. Podem citar-se como principais resultados do Summit os seguintes:

  • Novas ferramentas e documentação – durante o Summit, a OWASP anunciou o Live CD 2008, novas ferramentas de teste, ferramentas estáticas de análise, a Enterprise Security API (ESAPI v1.4), AntiSammy, o Application Security Verification Standard (ASVS), guia para o Ruby on Rails e CLassic ASP, versões internacionalizadas dos materiais OWASP e muito mais;
  • Novos programas de divulgação e disseminação – a OWASP anunciou que irá expandir os seus esforços de disseminação através do estreitamento de relações com vendedores de tecnologia, fornecedores de frameworks, e entidades de normalização. Igualmente, a OWASP estabeleceu um programa que permitirá oferecer seminários gratuitos em conferências, seminários ou universidades;
  • Nova estrutura organizativa global – a OWASP reconhece a extraordinária contribuição de alguns dos líderes mais activos, atribuindo-lhes um papel mais activo na gestão do OWASP, permitindo-lhes liderar novos comités dentro do OWASP. Cada um destes comité estará centrado numa função-chave ou numa região geográfica, tais como projectos OWASP, conferências, chapters locais e disseminação industrial.

Outro dos principais resultados do OWASP EU Summit é a aposta na Educação. Um dos projectos mais importantes da OWASP passa pela formação, quer de utilizadores, gestores e arquitectos e programadores de aplicações para um conjunto de boas práticas quer de utilização, concepção e desenvolvimento de aplicações com segurança. A OWASP pretende, através de um estreitamento de relações com a Universidade e com outras entidades de formação, lançar um conjunto de programas de formação específica na área da segurança aplicacional, como uma forma de formar profissionais competentes no desenvolvimento de aplicações seguras, que possam estar preparados para integrar o mercado de trabalho com novos desafios.

Por outro lado a OWASP está preocupada com o aparente alheamento de entidades nacionais para a problemática da segurança aplicacional. Com a decisão decisão do nosso governo em apostar, e na minha opinião, bem, em novas tecnologias de informação, aproveitando-as para melhorar o relacionamento entre a Administração Pública e os cidadãos e entre os diversos organismos da própria AP, parece existir uma ausência de uma verdadeira avaliação das ameaças existentes para as múltiplas aplicações da AP disponibilizadas através da Web. Isto pode originar alguns problemas pois a falta de uma avaliação concreta sobre da segurança dos mesmos pode dar origem ao possível compromisso das aplicações e da informação dos cidadãos.

No final deste encontro surge reforçada a ideia principal e verdadeira motivação do OWASP existir que é a partilha de conhecimento. A OWASP sempre patrocinou e vai continuar a patrocinar a abertura dos seus documentos e das suas ferramentas, como um importante catalisador de novas ideias que possam ser incorporadas no futuro. O que a comunidade dá ao OWASP, o OWASP devolve à comunidade de forma livre e gratuita – conhecimento e inovação.

No seu geral, o Summit foi bastante interessante e produtivo. Foi, do ponto de vista pessoal, uma experiência muito gratificante e que contribui definitivamente para o (re)lançamento do OWASP Portugal.

Ainda não está claramente definido onde será o próximo Summit. Falou-se novamente em Portugal. Se assim for, será óptimo. Será um prazer voltar a receber a comunidade OWASP em Portugal.
  • RSS
  • Twitter
  • Buzz
  • LinkedIn
  • Flickr