OWASP Buenos Aires

¡Bienvenidos a la comunidad de OWASP Buenos Aires!

Objetivo del capítulo

De la mano con la visión de OWASP, el objetivo de este capítulo es acompañar a la comunidad de desarrollo Argentina en la definición de criterios, estándares y herramientas con el objetivo final de comprender, de forma holística, los costos y beneficios de realizar un desarrollo maduro en términos seguridad y resiliencia.

Por que es importante el desarrollo seguro

Existen muchas razones para fomentar el desarrollo seguro dentro de una empresa o emprendimiento personal, dentro de las cuales se encuentran las siguientes:

Beneficio económico

En líneas generales, es mas barato para una empresa detectar y corregir vulnerabilidades en etapas previas a producción por varios motivos. Un ejemplo puede ser el caso de detectar una vulnerabilidad estructural, que afecte a varias aplicaciones del ecosistema. El costo de orquestar dicho fix, evitando downtime en el camino, puede ser muy grande. De haber detectado esa falla en etapas tempranas, por ejemplo, en un threat model en la etapa de diseño, el costo en términos de tiempo de desarrollo y deploy orquestado es menor.

Reducción de riesgos

Otro factor importante tiene relación al impacto de que dicha vulnerabilidad sea detectada por un atacante mal intencionado antes que por nosotros mismos. En este caso el impacto puede ser en imagen, regulatorio, legal o financiero. De haber detectado esta vulnerabilidad en etapas previas a producción, podemos reducir ampliamente este impacto.

La seguridad como parte de la calidad

Es importante remarcar que el concepto de seguridad es un subconjunto de calidad y como tal tienen muchos puntos en común. Por ejemplo, si necesitamos un producto que garantice (como medida de calidad) un SLA de 99,99 (“four nines”) y no tenemos en cuenta los vectores por los cuales un atacante puede denegar el servicio a la aplicación, es probable que el servicio tenga menor éxito que el esperado.

Que contenidos puedo esperar del capítulo

Los contenidos brindados por el capítulo pueden ser estratégicos, tácticos o técnicos, pero siempre enfocados en desarrollo seguro. Generalmente se compartirá temas relacionados a alguno de los “checkpoints” que conforman al SDL, por ejemplo…

  • Requirements Engineering
  • Threat modeling (STRIDE, brainstorming, attack trees, use/misuse case, attack surface analysis, entre otras)
  • Secure Design Principles
  • SAST (Static application security testing)
  • Security code review
  • Software composition analysis
  • Content management
  • Information lifecycle management
  • DAST (Dynamic application security testing)
  • IAST (Interactive Application Security Testing)
  • RASP(Runtime Application Self-Protection)
  • Penetration testing
  • Vulnerability Assessment
  • Bug bounty programs
  • Vulnerability Management
  • Security Culture inside companies

Entre otros temas…


Eventos 2020

Date/Time: May 4 to May 8, 2020, 18:30:00 PM to 20:00 PM

Location: Youtube, you can see the specific channel based on the specific date here: https://owasp.org/www-event-2020-latam-at-home/

Presentation summary:

Este año, por la situación que está padeciendo el mundo por la pandemia del Covid-19, se ha cancelado la participación del OWASP LATAM TOUR 2020 de manera presencial y ha dado pie para proponer realizar un evento con las mismas características pero de manera Virtual y con organización local de cada capítulo de OWASP.

Eventos 2019

Date/Time: Diciembre 6, 2019, 6:30 PM to 8:30 PM

Location: Universidad UTN - Mozart 2300, CABA

Presentation summary:

Se dictó una presentación como parte de la materia de Seguridad Aplicativa a cargo del Prof. Gonzalo Villanova. Dentro de los temas dictados se encuentran: Principios básicos de infraestructura Cloud (con casos prácticos en AWS y GCP), riesgos y nuevas oportunidades relacionadas a arquitecturas de microservicios (Mesh vs API gateway) y la importancia de la etapa de “configuration management” dentro del SDL como estrategia para lograr un desarrollo mas seguro.

Date/Time: November 21, 2019, 19:00 PM to 20:00 PM

Location: Mercado Libre Office - Leandro N Alem 518, CABA

Presentation summary:

Miembros del capítulo local organizaron una meetup conjunta con los organizadores de “Application Security BA Meetup”. En esta oportunidad compartimos nuestra visión sobre librerías open source (Software composition analysis) y el impacto que pueden tener en una empresa. Tmbién compartimos nuestra estrategia para inventariar, detectar vulnerabilidades, priorizar los riesgos y criterios de corrección y finalmente generar reportes a los desarrolladores para su posterior solución.

Date/Time: April 15, 2019, 9:00 AM to 18:00 PM

Location: Universidad UTN - Mozart 2300, CABA

Presentation summary:

Se organizó una conferencia “OWASP Latam Tour Buenos Aires” como parte del evento regional “OWASP Latam Tour”. Se contaron con mas de 10 speakers que compartieron sus experiencias a mas de 200 personas, con temas muy variados que fueron desde ataques a servicios de AWS hasta cómo crear tu propio analizador de código estático basado en taint analysis.

Date/Time: April 25, 2019, 18:30:00 PM to 20:00 PM

Location: Mercado Libre Office - Leandro N Alem 518, CABA

Presentation summary:

Miembros del capítulo local brindaron una Meetup conjunta con los organizadores de “Application Security BA Meetup”. En esta oportunidad se presentaron diferentes alternativas para implementar un analizador de código estático (SAST) en el ciclo de vida de desarrollo de software.


Próximos Eventos