¿Está OWASP en riesgo de irrelevancia?

¿Está OWASP en riesgo de irrelevancia?

Marca de tiempo: 17 de febrero de 2023 6:05 p.m.
¿Está OWASP en riesgo de irrelevancia? PlatoBlockchain Inteligencia de Datos. Búsqueda vertical. Ai.

A medida que la Fundación OWASP navega por su tercera década de existencia, muchos expertos en seguridad de aplicaciones y colaboradores voluntarios de OWASP dicen que es hora de que la organización haga algunos cambios importantes para mantenerse relevante. Esta semana, un grupo de más de 60 miembros destacados de OWASP envió un carta abierta a la Junta Directiva de OWASP y al director ejecutivo de la fundación exigiendo cambios significativos en la fundación. Muchos de estos co-firmantes eran líderes de proyectos emblemáticos de OWASP, contribuyentes de por vida y ex miembros de la junta de OWASP.

“OWASP simplemente ya no está impulsando la innovación”, dice el cofundador y CTO de Contrast Security, Jeff Williams, autor del primer OWASP Top Ten, presidente de OWASP de 2001 a 2011 y uno de los cofirmantes. “El código abierto ha cambiado y OWASP debe mantenerse al día brindando un mejor apoyo a los colaboradores”.

Entre los firmantes también se encontraban dos miembros actuales de la junta, Glenn ten Cate y Mark Curphey. Si bien Curphey dice que la carta es el resultado de la colaboración mutua dentro del grupo, también se alinea muy de cerca con un manifiesto que publicó el año pasado como parte de su exitosa oferta por un puesto en la junta de 2023. Como fundador de OWASP, Curphey no había estado directamente involucrado con la organización durante algún tiempo, pero siempre había apoyado y defendido OWASP mientras estaba ocupado como profesional de seguridad, líder de productos de seguridad y empresario en el espacio de seguridad de aplicaciones. .

Curphey se centró en los siguientes tres puntos principales durante su campaña para la junta:

  • cambiar el modelo de financiación de OWASP para parecerse más a cómo Linux Foundation y su Open Software Security Foundation trabajan con los donantes para apoyar su proyecto,
  • instalar un director de producto para liderar el cargo de limpiar proyectos (y priorizar los de alto impacto), así como renovar el sitio OWASP para que sea más amigable para los desarrolladores, y
  • cambiar la cultura de OWASP para eliminar la burocracia y agregar más transparencia sobre cómo los proveedores están (o no están) involucrados en la misión de OWASP.

La carta abierta hace eco muchos de estos puntos, mientras piden un cambio en la gobernanza que podría impulsar un esfuerzo drástico en la recaudación de fondos que, según ellos, podría generar millones de dólares para contratar desarrolladores dedicados y líderes de proyectos.

OWASP antes y ahora

Cuando se fundó OWASP allá por 2001, fue un trabajo de amor rudimentario fundado por defensores de la seguridad de las aplicaciones que estaban preocupados por el riesgo creciente para Internet que representaban las aplicaciones web inseguras. Querían aumentar la conciencia sobre el problema fuera de la burbuja de los expertos en ciberseguridad. Y así nació OWASP para ayudar a brindar educación y recursos no solo a los profesionales de la seguridad, sino también a los desarrolladores y las partes interesadas de la empresa.

La idea era brindar a las organizaciones orientación técnica que pudiera permitir a los desarrolladores mejorar sus prácticas de codificación y reducir el riesgo de vulnerabilidades en el software que implementaron. Esta fue la génesis del OWASP Top 10, la alardeada lista del grupo de los 10 defectos más arriesgados en aplicaciones que se publicó por primera vez en 2003 y que desde entonces ha generado numerosas actualizaciones y sublistas, y que ha impulsado una gran cantidad de proyectos de seguridad de código abierto, productos comerciales y servicios.

Muchas cosas han cambiado desde aquellos primeros años. La pieza de concientización de OWASP sin duda ha dado en el blanco, y hoy el grupo ha crecido para apoyar a más de 240 capítulos y decenas de miles de miembros y participantes en todo el mundo. Alberga una lista completa de eventos locales y globales, y una serie de proyectos como Top 10, Software Assurance Maturity Model (SAMM) y Zed Attack Proxy (ZAP).

Sin embargo, el alcance del trabajo de seguridad de aplicaciones que se debe realizar se ha ampliado considerablemente a medida que el mundo se ha movido mucho más allá de las aplicaciones web y ahora está inundado de aplicaciones móviles, IoT y sistemas integrados, dispositivos portátiles y todo lo demás, todo lo cual está impulsado por software. .

Y el entorno de desarrollo también ha cambiado radicalmente. Las prácticas modernas de desarrollo han elegido métodos como la integración continua/entrega continua (CI/CD), DevOps y el desarrollo ágil para tomar el relevo de los patrones tradicionales de desarrollo en cascada. Los desarrolladores se basan en gran medida en las arquitecturas de microservicios y combinan componentes de código abierto para desarrollar su software.

Desafortunadamente, ante todo ese cambio, algunas cosas también se han mantenido igual. Muchos de los problemas en ese primer OWASP Top 10 son igual de problemáticos hoy y aún están en la lista, incluidas fallas de inyección, configuraciones incorrectas y fallas de autenticación. Ahora, sin embargo, estos problemas persistentes que nunca han desaparecido solo se ven exacerbados por el alcance ampliado, la velocidad de desarrollo y la maraña de dependencias de la cadena de suministro de software que se han agregado a la mezcla a lo largo de los años.

Clamando por el cambio

En el contexto de estos factores, muchos conocedores de OWASP argumentan que la organización sin fines de lucro no se ha mantenido al día con el ritmo de cambio dentro del mundo del desarrollo de software. Dicen que la fundación no está apoyando las necesidades de la comunidad OWASP, especialmente en lo que respecta a la fundación. proyectos emblemáticos, que incluye más de una docena de proyectos entre los otros 274 proyectos de OWASP.

“Lo que funcionó en el pasado simplemente no funciona ahora y OWASP necesita cambiar. Año tras año se han planteado inquietudes y ha habido promesas de cambio, pero año tras año no se ha cumplido”, dice la carta abierta a la Junta Directiva de OWASP y al director ejecutivo de la fundación. “La brecha entre lo que quieren nuestros proyectos y la comunidad que los rodea, y el apoyo que brinda OWASP, continúa creciendo”.

Con la publicación de esta última misiva, los cosignatarios de la carta dicen que algunos de los proyectos más impactantes de OWASP, en los que confían muchas empresas y por los productos que las empresas usan hoy en día, se dejan “operar de forma independiente, en algunos casos administrando sus propios patrocinios, finanzas, sitios web, dominios, plataformas de comunicación y herramientas para desarrolladores”.

Los firmantes piden a gritos algunos cambios drásticos en los modelos de financiación y la gobernanza para que el grupo vuelva a atender las necesidades de los desarrolladores en el contexto de los modelos modernos de entrega de software. Desarrollaron una lista de acción que consta de cinco puntos principales, llamando a la fundación y a la junta directiva a:

  1. desarrollar un plan comunitario que priorice iniciativas clave, señalando el plan OSSF como referencia
  2. cambiar la estructura de gobierno de la fundación para “reflejar mejor la necesidad de toda la comunidad de seguridad”
  3. Establecer una campaña de financiación agresiva para recaudar entre $5 y $10 millones para pagar a los desarrolladores dedicados, los administradores de la comunidad y el personal de apoyo.
  4. mejorar la infraestructura y los servicios centralizados para la comunidad para aliviar los proyectos
  5. tomar una mano más centralizada en la gestión de la cartera de productos y lo que sucede en los capítulos locales

Williams dice que firmó porque sintió que los cambios que pedía el grupo son "lamentablemente necesarios".

“OWASP tiene un problema evidente al no tener un plan financiero construido de abajo hacia arriba en función de las necesidades del proyecto”, dice. “Sin eso, es imposible recaudar fondos de manera efectiva. Escribir un plan de financiación agresivo, buscar grandes incrementos de financiación y asumir proyectos más agresivos es la única forma de mantener a OWASP en movimiento rápidamente”.

Realidades del próximo paso

La pregunta es si la fundación y la comunidad OWASP están dispuestas y son capaces de hacer algunos de estos cambios. De acuerdo a chenxi wang, ex miembro de la junta de OWASP, hay muchos elementos en la propuesta que son "muy necesarios" ya que cree que OWASP se ha convertido en una organización que no hace mucho más que organizar eventos.

“Pero algunos de los otros elementos parecen ser demasiado ambiciosos para OWASP, que tiene una junta de voluntarios y un pequeño personal operativo. Por ejemplo, el elemento para 'administrar activamente la cartera de proyectos y los capítulos' requeriría un esfuerzo sustancial en el futuro, lo que tal vez no sea algo que la fundación pueda hacer con los recursos actuales”, dice. “Además, la propuesta sobre la financiación de proyectos priorizados requeriría un cambio al modelo actual y puede privar de derechos a proyectos más nuevos”.

Como ella lo ve, la propuesta requerirá cambios drásticos en el modelo de financiación, el modelo comunitario y la forma en que se distribuyen los fondos.

“Hacer todo esto de una sola vez va a ser demasiado perturbador”, dice Wang. “Un enfoque por etapas es la única manera de hacer que esto suceda”.

Por su parte, el director ejecutivo de la Fundación OWASP, Andrew van der Stock, dice que también está de acuerdo con muchos de los puntos de la carta. Al día siguiente de la publicación de la carta, se presentaron las propuestas en la reunión mensual del directorio de la fundación. Él dice que la reunión salió bien y está de acuerdo en que la junta debe establecer un plan prioritario de todos modos como parte de su deber fiduciario.

“Más allá de la forma en que se presentó, no hay nada con lo que no estemos de acuerdo”, dice sobre la carta. “Creo que crear un plan dentro de los 30 días es definitivamente factible. Mi principal preocupación es realmente si no logramos alcanzar los cinco objetivos en un plazo en el que los proyectos quieren que lo logremos”.

También se pregunta si los estatutos actuales de la junta y la voluntad de los miembros que pagan de la comunidad de OWASP permitirán el tipo de cambios de gobierno y financiamiento que desean los co-firmantes. Por ejemplo, OWASP no está configurada como la organización OSSF, que actualmente tiene una junta formada por miembros que compran sus puestos a través de la membresía corporativa y pagan una cantidad significativa para retener esos puestos. OWASP cuenta actualmente con unos 7,000 miembros financieros además de las 80,000 personas que participan en la comunidad a través de eventos, reuniones de capítulos y proyectos. Esa membresía paga incluye individuos que pagan $50 al año, miembros de por vida que pagan $500 y patrocinadores corporativos que pagan $5,000 o más, según el nivel de apoyo que quieran brindar.

“No creo que nuestra comunidad apoye ese cambio. Es una de esas cosas que creo que va a ser un poco poco realista”, dice van der Stock, quien agrega que este tipo de cambios requerirían un cambio en los estatutos de OWASP, que ya están en las últimas etapas de ser revisados ​​a un conjunto de estatutos sin fines de lucro "bastante estándar" en respuesta a un descubrimiento hace aproximadamente un año de que los estatutos originales no eran válidos de acuerdo con la Ley General de Sociedades de Delaware. Solo ese procedimiento de rutina requirió un proceso extenso que incluyó una votación de los miembros en general.

Sin embargo, van der Stock dice que OWASP definitivamente podría prosperar si la junta puede encontrar una manera de obtener más fondos.

“Si pudiéramos obtener entre $ 5 millones y $ 10 millones al año, podríamos hacer mucho. Si pudiéramos hacer que la gente trabajara en proyectos a tiempo completo, estas cosas aparecerían mucho más rápido y probablemente con una calidad mucho mayor”, dice, señalando que la fundación actualmente solo tiene cinco empleados en su lista. “Creo que la única fricción en realidad, y lo único que podría cuestionarse, es el modelo de gobernanza. Creo que nuestra comunidad tendría mucho que decir al respecto”.

Esta es también la preocupación de Williams.

“Me preocupa que OWASP no pueda responder a la carta, dadas las estructuras de gobierno actuales”, dice.

Pero según Curphey, la reunión de la junta fue un buen comienzo para presentar la propuesta de los creadores de cambios y considerar los próximos pasos.

“La reunión de la junta fue positiva”, dice. “Todavía queda un largo camino por recorrer, pero ya veremos. Tuve que irme temprano para asistir a otra reunión de la junta, pero cuando me fui estaba muy satisfecho con el progreso y el deseo de la junta actual de adaptarse y cambiar”.

¿Por qué debería importarles a los CISO?

La gran pregunta para los CISO y los profesionales de la seguridad es si alguna de estas maniobras internas en OWASP realmente les importa. Según Wang, es posible que las decisiones y acciones que toma la fundación hoy no tengan un impacto directo en los CISO en este momento. Pero podría tener un efecto dominó a largo plazo que influya en el tipo de opciones tecnológicas que tendrán para ayudar a los desarrolladores a largo plazo.

“Esto podría dar como resultado un mejor soporte de las tecnologías emergentes, lo que en el futuro podría afectar la forma en que los profesionales adoptan estas tecnologías”, dice.

Sello de tiempo:

Mas de Lectura oscura