O OWASP corre o risco de ser irrelevante?

Enquanto a OWASP Foundation navega em sua terceira década de existência, muitos especialistas em segurança de aplicativos e colaboradores voluntários da OWASP dizem que é hora de a organização fazer algumas grandes mudanças para permanecer relevante. Esta semana, um grupo de mais de 60 membros de alto perfil da OWASP enviou um carta aberta ao Conselho de Administração da OWASP e ao diretor executivo da fundação exigindo mudanças significativas na fundação. Muitos desses co-signatários eram líderes de projetos emblemáticos da OWASP, colaboradores vitalícios e ex-membros do conselho da OWASP.

“A OWASP simplesmente não está mais impulsionando a inovação”, diz o cofundador e CTO da Contrast Security, Jeff Williams, autor do primeiro OWASP Top Ten, presidente da OWASP de 2001 a 2011 e um dos co-signatários. “O código aberto mudou e a OWASP precisa acompanhar melhor os contribuidores.”

Entre os signatários também estavam dois membros atuais do conselho, Glenn ten Cate e Mark Curphey. Embora Curphey diga que a carta é o resultado de uma colaboração mútua dentro do grupo, ela também se alinha muito com um manifesto que publicou no ano passado como parte de sua candidatura bem-sucedida por um assento no conselho de 2023. Como fundador da OWASP, Curphey não esteve diretamente envolvido com a organização por algum tempo, mas sempre foi um apoiador e defensor da OWASP enquanto estava ocupado sendo um profissional de segurança, líder de produtos de segurança e empresário no espaço de segurança de aplicativos. .

Curphey concentrou-se nos seguintes três pontos principais durante sua campanha para o conselho:

• para mudar o modelo de financiamento da OWASP para se parecer mais com a forma como a Linux Foundation e sua Open Software Security Foundation trabalham com doadores para apoiar seu projeto,
• instalar um diretor de produto para liderar a tarefa de limpar projetos (e priorizar os de alto impacto), bem como renovar o site OWASP para torná-lo mais amigável ao desenvolvedor e
• para mudar a cultura da OWASP para eliminar a burocracia e adicionar mais transparência em como os fornecedores estão (ou não estão) envolvidos na missão da OWASP.

A carta aberta ecoa muitos desses pontos, ao mesmo tempo em que pedem uma mudança na governança que poderia alimentar um esforço drástico de arrecadação de fundos que eles acham que poderia render milhões de dólares para contratar desenvolvedores dedicados e líderes de projeto.

OWASP antes e agora

Quando o OWASP foi fundado em 2001, foi um trabalho de amor desconexo fundado por defensores da segurança de aplicativos que estavam preocupados com o risco crescente para a Internet representado por aplicativos da Web inseguros. Eles queriam aumentar a conscientização sobre o problema fora da bolha dos especialistas em segurança cibernética. E assim o OWASP nasceu para ajudar a fornecer educação e recursos não apenas para profissionais de segurança, mas também para desenvolvedores e partes interessadas da empresa.

A ideia era fornecer às organizações orientação técnica que permitisse aos desenvolvedores melhorar suas práticas de codificação e reduzir o risco de vulnerabilidades no software implantado. Esta foi a gênese do Top 10 da OWASP, a alardeada lista do grupo dos 10 falhas mais arriscadas em aplicativos que foi publicado pela primeira vez em 2003 e que, desde então, gerou inúmeras atualizações e sub-listas, e que alimentou toda uma série de projetos de código aberto de segurança, produtos comerciais e serviços.

Muitas coisas mudaram desde aqueles primeiros anos. A peça de conscientização do OWASP certamente atingiu sua marca e hoje o grupo cresceu para apoiar mais de 240 capítulos e dezenas de milhares de membros e participantes em todo o mundo. Ele hospeda uma lista completa de eventos locais e globais e vários projetos como o Top 10, Software Assurance Maturity Model (SAMM) e Zed Attack Proxy (ZAP).

No entanto, o escopo do trabalho de segurança de aplicativos a ser feito ampliou-se consideravelmente à medida que o mundo foi muito além dos aplicativos da Web e agora está inundado de aplicativos móveis, IoT e sistemas incorporados, vestíveis e tudo mais - tudo impulsionado por software .

E o ambiente de desenvolvimento também mudou radicalmente. As práticas modernas de desenvolvimento adotaram métodos como integração contínua/entrega contínua (CI/CD), DevOps e desenvolvimento ágil para substituir os padrões tradicionais de desenvolvimento em cascata. Os desenvolvedores se apoiam fortemente em arquiteturas de microsserviços e componentes de código aberto que combinam e combinam para criar seu software.

Infelizmente, diante de toda essa mudança, algumas coisas também permaneceram iguais. Muitos dos problemas naquele primeiro OWASP Top 10 são igualmente problemáticos hoje e ainda estão na lista, incluindo falhas de injeção, configurações incorretas e falhas de autenticação. Agora, porém, esses problemas persistentes que nunca desapareceram são apenas exacerbados pelo escopo expandido, a velocidade de desenvolvimento e o emaranhado de dependências da cadeia de suprimentos de software que foram adicionados à mistura ao longo dos anos.

Clamando por Mudança

No contexto desses fatores, muitos membros da OWASP argumentam que a organização sem fins lucrativos não acompanhou o ritmo das mudanças no mundo do desenvolvimento de software. Eles dizem que a fundação não está atendendo às necessidades da comunidade OWASP, especialmente no que diz respeito à fundação projetos emblemáticos, que inclui mais de uma dúzia de projetos entre os 274 outros projetos da OWASP.

“O que funcionou no passado simplesmente não está funcionando agora e a OWASP precisa mudar. Ano após ano, preocupações foram levantadas e houve promessas de mudança, mas ano após ano isso não aconteceu”, disse a carta aberta ao Conselho de Administração da OWASP e ao diretor executivo da fundação. “A lacuna entre o que nossos projetos e a comunidade ao seu redor desejam e o suporte que o OWASP fornece continua a crescer.”

Com a publicação desta última missiva, os co-signatários da carta dizem que alguns dos projetos mais impactantes da OWASP - aqueles nos quais muitas empresas e os produtos que as empresas usam hoje - são deixados para “operar de forma independente, em alguns casos gerenciando seus próprios patrocínios, finanças, websites, domínios, plataformas de comunicação e ferramentas para desenvolvedores.”

Os signatários estão clamando por algumas mudanças drásticas nos modelos de financiamento e governança para que o grupo volte a atender às necessidades dos desenvolvedores no contexto dos modelos modernos de entrega de software. Eles desenvolveram uma lista de ações composta por cinco pontos principais, chamando a fundação e o conselho para:

1. desenvolver um plano comunitário que priorize as principais iniciativas, tendo como referência o plano OSSF
2. mudar a estrutura de governança da fundação para “refletir melhor a necessidade de toda a comunidade de segurança”
3. estabelecer uma campanha de financiamento agressiva para arrecadar $ 5 milhões a $ 10 milhões para pagar desenvolvedores dedicados, gerentes de comunidade e equipe de suporte
4. melhorar a infraestrutura e os serviços centralizados para a comunidade para aliviar os projetos
5. ter uma mão mais centralizada no gerenciamento do portfólio de produtos e o que acontece nos capítulos locais

Williams diz que assinou porque sentiu que as mudanças que o grupo pediu são “infelizmente necessárias”.

“A OWASP tem uma lacuna evidente por não ter um plano financeiro construído de baixo para cima com base nas necessidades do projeto”, diz ele. “Sem isso, é impossível captar recursos de forma eficaz. Escrever um plano de financiamento agressivo, ir atrás de alguns grandes incrementos de financiamento e assumir projetos mais agressivos é a única maneira de manter a OWASP em movimento rapidamente.”

Realidades da próxima etapa

A questão é se a fundação e a comunidade OWASP estão dispostas e são capazes de fazer algumas dessas mudanças. De acordo com Chen Xi Wang, ex-membro do conselho da OWASP, há muitos itens na proposta que são “muito necessários”, pois ela acredita que a OWASP se transformou em uma organização que não faz muito mais do que organizar eventos.

“Mas alguns dos outros itens parecem ambiciosos demais para a OWASP, que tem um conselho de voluntários e uma pequena equipe operacional. Por exemplo, o item 'gerenciar ativamente o portfólio de projetos e capítulos' exigiria um esforço substancial daqui para frente, o que pode não ser algo que a fundação possa fazer com os recursos de hoje”, diz ela. “Além disso, a proposta sobre o financiamento de projetos priorizados exigiria uma mudança no modelo atual e poderia privar projetos mais novos.”

Para ela, a proposta vai exigir mudanças drásticas no modelo de financiamento, no modelo comunitário e na forma como os recursos são distribuídos.

“Fazer tudo isso de uma só vez vai ser muito perturbador”, diz Wang. “Uma abordagem em fases é a única maneira de fazer isso acontecer.”

De sua parte, o diretor executivo da OWASP Foundation, Andrew van der Stock, diz que também concorda com muitos dos pontos da carta. No dia seguinte à publicação da carta, as propostas foram apresentadas na reunião mensal do conselho da fundação. Ele diz que a reunião correu bem e concorda que o conselho precisa definir um plano prioritário de qualquer maneira como parte de seu dever fiduciário.

“Além da forma como foi apresentada, não há nada ali com que discordemos”, diz ele sobre a carta. “Acho que criar um plano em 30 dias é definitivamente factível. Minha maior preocupação é realmente se não conseguirmos atingir todas as cinco metas no prazo que os projetos desejam que atingamos.”

Ele também se pergunta se os estatutos atuais do conselho e a vontade dos membros pagantes da comunidade OWASP permitirão o tipo de governança e mudanças de financiamento que os co-signatários desejam. Por exemplo, o OWASP não é configurado da mesma forma que a organização OSSF, que atualmente possui um conselho composto por membros que compram seus assentos por meio de associação corporativa e pagam significativamente para reter esses assentos. Atualmente, a OWASP tem cerca de 7,000 membros financeiros, além das 80,000 pessoas que participam da comunidade por meio de eventos, reuniões de capítulos e projetos. Essa associação pagante inclui indivíduos que pagam US$ 50 por ano, membros vitalícios que pagam US$ 500 e patrocinadores corporativos que pagam US$ 5,000 ou mais, dependendo do nível de suporte que desejam oferecer.

“Não acho que nossa comunidade apoiaria essa mudança. É uma daquelas coisas que eu acho que vai ser um pouco irreal”, diz van der Stock, que acrescenta que esse tipo de mudança exigiria uma mudança no estatuto da OWASP, que já está nos últimos estágios de revisão para um conjunto de estatutos sem fins lucrativos “bastante padrão” em resposta a uma descoberta, há cerca de um ano, de que os estatutos originais eram inválidos de acordo com a Lei Corporativa Geral de Delaware. Só esse procedimento de rotina exigia um processo extenso que incluía uma votação dos membros em geral.

No entanto, van der Stock diz que a OWASP pode definitivamente florescer se o conselho puder encontrar uma maneira de atrair mais fundos.

“Se conseguíssemos arrecadar entre US$ 5 milhões e US$ 10 milhões por ano, poderíamos fazer muito. Se conseguíssemos que as pessoas trabalhassem em projetos em tempo integral, essas coisas pareceriam muito mais rápidas e provavelmente com muito mais qualidade”, diz ele, observando que a fundação atualmente tem apenas cinco funcionários em sua lista. “Acho que o único atrito realmente, e a única coisa que pode ser contestada, é o modelo de governança. Acho que nossa comunidade teria muito a dizer sobre isso.”

Essa também é a preocupação da Williams.

“Estou preocupado que a OWASP não seja capaz de responder à carta, dadas as atuais estruturas de governança”, diz ele.

Mas, de acordo com Curphey, a reunião do conselho foi um bom começo para apresentar a proposta dos responsáveis ​​pela mudança e considerar os próximos passos.

“A reunião do conselho foi positiva”, diz ele. “Ainda falta muito, mas vamos ver. Tive que sair mais cedo para participar de outra reunião do conselho, mas quando saí fiquei muito satisfeito com o progresso e o desejo do conselho atual de se adaptar e mudar.”

Por que os CISOs devem se importar?

A grande questão para CISOs e profissionais de segurança é se alguma dessas manobras internas na OWASP realmente importa para eles. De acordo com Wang, as decisões e ações que a fundação toma hoje podem não necessariamente impactar diretamente os CISOs no momento. Mas pode ter um efeito cascata de longo prazo que influencia o tipo de opções de tecnologia que eles terão para ajudar os desenvolvedores a longo prazo.

“Isso pode resultar em um melhor suporte para tecnologias emergentes, o que pode afetar a forma como os profissionais adotam essas tecnologias”, diz ela.

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• Platoblockchain. Inteligência Metaverso Web3. Conhecimento Ampliado. Acesse aqui.
• Fonte: https://www.darkreading.com/edge-articles/is-owasp-at-risk-of-irrelevance