OWASP AppSec Brasil 2009
Eu sempre gostei de participar de comunidades técnicas, de eventos e congressos. É sempre bom ter um tempo para parar e pensar sobre temas técnicos sem a pressão inerente ao trabalho. Eu já falei que tinha encontrado a lista CISSPBR, da qual cheguei a participar bem ativamente. A despeito das flame wars que eventualmente aconteciam, existia ali uma boa troca de conhecimento e um certo senso de comunidade.
Em 2006 eu descobri, por meio de contatos da CISSPBR, uma nova comunidade. Um carinha de São Paulo tinha criado o capítulo local da OWASP, uma comunidade voltada para temas ligados à segurança de aplicações. Esse era um assunto que me interessava bastante, então comecei a participar da lista de discussões do OWASP Brazil. Na época havia um único capítulo para o país inteiro, o que fazia sentido, já que a comunidade ainda era bem pequena. Boa parte das pessoas também participava da CISSPBR e alguns nomes já eram familiares.
Esse “carinha de São Paulo” era o Wagner, que também participava da CISSPBR e de outras listas de discussão nas quais eu costumava trocar ideias, como uma chamada “Código Seguro”. A gente já tinha trocado alguns e-mails quando ele criou o capítulo brasileiro da OWASP. Depois disso nós nos encontramos pessoalmente e acabamos nos tornando amigos também no mundo real, além do virtual.
Em 2008 o Wagner e o sócio dele, o Eduardo, me propuseram fazer um curso sobre segurança no desenvolvimento em Java em parceria com a empresa que eles tinham criado, chamada Conviso, que existe até hoje. Eu reuni algum material que já tinha, fiz uma pesquisa para atualizar o conteúdo e montei uma proposta de ementa para o curso. Eu preparei o material didático e trabalhamos juntos na divulgação. Conseguimos montar uma turma em São Paulo e outra em Brasília.
Enquanto trabalhávamos na preparação e divulgação do curso, a OWASP anunciou que faria o seu primeiro Summit, um encontro de líderes de projetos e capítulos da organização, que aconteceria em Portugal no final de 2008. O Eduardo ficou responsável por organizar a sessão de cursos e treinamentos do Summit. Ele anunciou isso no Brasil e, algum tempo depois, entrou em contato comigo para perguntar se eu teria interesse em levar o treinamento para o Summit. Para isso eu teria que preparar todo o material em inglês.
Eu aceitei o desafio e preparei o material. O curso foi aceito e a OWASP pagaria os custos da minha viagem para Portugal. Como era o primeiro evento desse tipo organizado pela comunidade, o formato acabou mudando bastante depois do anúncio inicial. Uma das mudanças foi o cancelamento dos cursos e treinamentos para que o evento pudesse focar mais em sessões técnicas de discussão dos projetos e da própria organização. Mesmo com o meu curso cancelado, como as passagens já tinham sido compradas, eu fui assim mesmo para participar do evento.
Foi um evento muito interessante e marcou meu primeiro contato direto com a comunidade internacional da OWASP. Muitos dos líderes de projetos que eu usava ou sobre os quais já tinha lido estavam lá, e foi possível conversar com vários deles e até iniciar algumas amizades. O principal organizador do evento foi o Dinis Cruz, que já era um dos líderes mais respeitados da OWASP naquela época. O Dinis nos incentivou bastante a realizar mais atividades e eventos da OWASP no Brasil.
Numa coincidência interessante, eu e o Eduardo voltamos ao Brasil no mesmo voo. Isso nos deu bastante tempo para conversar sobre a ideia de organizar um congresso da OWASP no Brasil. Por influência das muitas menções à CPLP que apareciam nas filas de imigração do aeroporto em Lisboa, a ideia inicial foi fazer um congresso em português voltado para os países da Comunidade dos Países de Língua Portuguesa. O primeiro nome que surgiu foi OWASP AppSec CPLP. Mais tarde o nome evoluiu para OWASP AppSec Brasil e, depois de algumas edições, para OWASP AppSec Latam.
De volta ao Brasil, as discussões começaram na lista de e-mails do capítulo OWASP Brazil, com muitas sugestões e ideias sobre onde e como organizar o congresso. 2008 foi também o ano em que eu troquei o Banco Central pela Câmara dos Deputados. Em conversa com o diretor do centro de informática da Câmara surgiu a ideia de fazer um evento conjunto entre o OWASP e o CENIN. Isso resolveria o problema de patrocínio do evento, mas também traria algumas mudanças na forma como o OWASP, enquanto organização, lidaria com ele. Já naquela época os congressos eram uma das principais fontes de financiamento da OWASP e, nesse caso, o evento seria feito em parceria e sem a possibilidade de gerar lucro. Em compensação, seria um evento gratuito realizado na sede da Câmara dos Deputados, em Brasília. Assim surgiu o AppSec Brasil 2009.
Com o apoio da instituição, passei a ter bastante tempo para me dedicar à organização do evento, e também consegui apoio de uma pessoa da equipe para ajudar nesse trabalho. Acabei me tornando o coordenador local do evento, tanto do lado da Câmara quanto do lado da OWASP. Na minha avaliação, o evento foi um sucesso. Tivemos keynotes de nomes bastante conhecidos da área, muitas apresentações extremamente interessantes sobre segurança de aplicações e uma excelente oportunidade de interação com a comunidade OWASP, não apenas do Brasil, mas também de outros países.
Depois do evento, uma pessoa que dizia que iria ajudar na organização, mas que na prática fez muito pouco, iniciou uma discussão com o Wagner afirmando que o evento tinha tido vários problemas. No meio da discussão, começaram também acusações de que teria havido mau uso de dinheiro público, o que era uma acusação que me afetava diretamente. Essa discussão começou em uma lista de e-mails da qual eu não participava, mas o Wagner me avisou do que estava acontecendo e que a situação estava sendo escalada para o nível da OWASP internacional.
Eu considerei as acusações totalmente infundadas e pedi a atuação do comitê de ética da OWASP. No final, o comitê concluiu que as acusações não eram pertinentes, mas também entendeu que a pessoa não tinha cometido nenhuma infração ética ao expressar sua opinião.
Com isso resolvido, pudemos começar a pensar na próxima edição do congresso. Mas essa já é uma história para um próximo capítulo.