Paolo Perego bio photo

Paolo Perego

Specialista di application security italiano. 37 anni, milanese, papà, praticante di Taekwon-do ITF, chitarrista e blogger.

Twitter Facebook Github

Il potere della parola owasp

Volente o nolente, nel corso degli anni Owasp è diventata una potente leva per gli IT Manager per parlare di application security.

Per carità, questo è un bene. Le tematiche di appsec devono essere diffuse, devono permeare i compartimenti IT, devono entrare nei progetti ed i volontari di Owasp devono lavorare molto per ottenere questo.

Chiaramente, tutti noi abbiamo poi un lavoro vero che ci consente di mangiare e le attività che ci legano a questo potente brand, perché non si può negare che lo sia, portano di sicuro effetti positivi alla nostra carriera.

Spesso però si gioca con l’ignoranza, involontaria per lo più, delle persone IT sui temi di appsec. In questi casi si usa l’appartenenza ad Owasp come uno speciale status che eleva il professionista in un’elite.

Ne senti di gente che dice “ah, ma io sono membro Owasp”. Alcuni si spingono oltre e si autoeleggono nel “board di Owasp” quando parlano coi propri interlocutori.

Prendo come spunto questo corso

Nella descrizione, in maniera pomposa si dice che:

L’intero programma del corso è stato strutturato secondo metodologie di
verifica internazionale OWASP di cui il corpo docenti è membro.

Io conosco i docenti e garantisco che hanno le competenze tecniche per erogare questo corso al di là del fatto di essere membri di un’associazione opensource no profit, di cui tutti possono diventare membri.

Tutti possono diventare membri di Owasp. Tutti possono partecipare attivamente ad Owasp. Tutti possono diventare Project Leader di Owasp. Ripetiamolo… tutti.

Io non sono speciale perché l’ho fatto 4 anni fa. Semmai la community potrà apprezzare o meno il lavoro che faccio costantemente. Ma di sicuro io non sono più fico di altri perché ho fatto partire Orizon o perché sono R_n_D director di Owasp Italia…

Mi piace enfatizzare il fatto che quello che rende i membri di Owasp, speciali, non è tanto il fatto che siano membri ma il fatto che facciano deliverables.

Se persone lavorano attivamente su progetti, aiutano a creare conoscenza, fanno speech, aiutano ad organizzare conferenze, allora sì che ha un senso dire “bhé sono abbastanza attivo in Owasp”. Di sicuro, pagare una fee annuale per supportare il progetto ed essere membro non comporta molti sforzi.

Concludo. La O di Owasp sta per ‘Open’. Il progetto è aperto a tutti. Tutti possono partecipare e tutti sono invitati a partecipare, qualunque sia il livello tecnico. Nessuno è nato imparato e nessuno lì dentro punta il dito contro le persone che voglio imparare… anzi, sono loro la nostra prima risorsa.

Poi boh… per chi continua a considerare Owasp solo una parola da spendere in prevendita, bhé non è che ha capito molto. Però parlatene pure… magari il vostro interlocutore è più smart di voi :-)


comments powered by Disqus