Carlos Serrão

as minhas notas e página pessoal…

OWASP Summit, o segundo dia!!!

| 0 comments

O dia começou com uma apresentação do Dinis Cruz, que nos apresentou a agenda do dia, e a organização que estava prevista para o mesmo.

Depois tivemos o David Meucci, da OWASP Itália, sobre o “OWASP Testing Guide – version 3”. Este é um dos projectos de documentação do OWASP, que serve para ajudar os programadores de aplicações web na realização de testes de segurança a essas mesmas aplicações. Esta nova versão do testing guide acrescenta mais algumas secções interessantes (nomeadamente de Configuration Management testing).

Eis a forma como testing guide está integrado no restante stack de documentação OWASP. As restantes apresentações percorreram um pouco a restante documentação deste stack.

A segunda apresentação da manhã (no track de Documentação) foi-nos trazida por Eoin Keary, sobre o trabalho realizado pelo OWASP no OWASP Code Review Guide. Este trabalho demonstra como integrar em diversas fases do Ciclo de Vida de Desenvolvimento de Software (Software Development Life Cycle – SLDC), um conjunto de boas práticas de análise de código, como uma forma de detectar problemas de segurança, e de os resolver o mais cedo possível no SLDC. Um dos aspectos importantes da qualidade final do produto desenvolvido (aplicação web, web-service, ou qualquer outra aplicação) é a segurança do mesmo. O OWASP tem alguns projectos a desenvolver algumas ferramentas que podem ser usadas para automatizar este processo de revisão de código.

De seguida, Leonardo Cavallari, do Brasil, fez uma apresentação sobre o Application Security Desk Reference (ASDR), que não é mais do que documentação de suporte a todos os outros projectos de documentação do OWASP, servindo como uma espécie de glossário inicial sobre os principais termos e problemas segurança que são cobertos pelo OWASP, e a ligação para documentação mais aprofundada sobre os mesmos.

Seguiu-se um aspecto aspecto muito importante para o OWASP Portugal – uma apresentação sobre o projecto de tradução da documentação OWASP para Espanhol. Este é um projecto importante para a OWASP Portugal, pois este pode (e provavelmente será) o primeiro tipo de contribuição que a OWASP Portugal poderá oferecer ao OWASP, a tradução de conteúdos OWASP para português. Este é um projecto que tem igualmente importância para os brasileiros que estão já muito activos nesta área, e inclusivé já arrancaram com alguma tradução. Penso que faz todo o sentido podermos juntar os esforços e podermos contribuir para essa mesma tradução – afinal de contas, o português é igualmente uma das línguas mais faladas a nível mundial.

A última sessão de apresentações matinal foi sobre um projecto OWASP que se chama .NET ESAPI (Enterprise Security API). Este projecto está a a desenvolver uma framework em .Net para o desenvolvimento seguro de aplicações em .Net.

Ainda antes do almoço (se é que lhe podemos chamar almoço, pois por aqui o pessoal não pára) ainda houve tempo para começar o working session sobre os diversos projectos de documentação e começar a trabalhar numa versão mais integrada dos mesmos. Pelo meio da sessão, o almoço, no modelo “Grab a sandwich and please go back to your session real fast!”.

Da parte da tarde, voltaram as sessões de treino. Duas sessões de treino muito interessantes:

  1. The Art and Science of Threat Modeling Web Applications, onde se falou sobre um conjunto de boas práticas para avaliar e medir as ameaças que estão envolvidas na concepção de aplicações Web. Falou-se igualmente do modelo D.R.E.A.D. (Damage, Reproducibility, Exploitability, Affected Users, Discoverability) como uma boa forma de quantificação das ameaças.
  2. Offensive WebApp Hacking (acho que o nome diz tudo), uma sessão prática em que foram demonstradas diversas técnicas que permitem comprometer a segurança das aplicações web.

No final do dia, nada melhor do que um jantar “a la OWASP”. Foram selecionados um conjunto de apartamentos, e encomendou-se a jantarada para o pessoal poder continuar a conversar e de certa forma a trabalhar para estabelecer uma boa rede de contactos e parcerias.

E este foi o dia de hoje. O de amanhã promete ainda mais.

  • RSS
  • Twitter
  • Buzz
  • LinkedIn
  • Flickr