Durante a semana passada aconteceu o OWASP AppSec DC 2009 em Washington, e uma das palestras mais aguardadas foi a apresentação do OWASP Top 10 2010, feita pelo Dave Wichers. Como novidades, além da remoção de 2 tópicos (A3 – Malicious File Execution e A6 – Information Leakage and Improper Error Handling) e inclusão de outros 2 (A6 – Security Misconfiguration e A8 – Unvalidated Redirects and Forwards), importantes alterações foram apresentadas na forma como o documento é composto:
- O nome mudou de OWASP Top 10 Vulnerabilities para The Top 10 Most Critical Web Application Security Risks, uma vez que a metodologia de análise é composta pela distribuição de valores para o vetor de ataque, “popularidade” da vulnerabilidade, facilidade de detecção e impacto técnico.
- O documento está aberto para comentários por 60 dias, após os quais a versão final será publicada e disponibilizada na Wiki do OWASP.
Este é um excelente momento para contribuir com o seu conhecimento em Segurança de Aplicação, lembrando que para se associar ao OWASP basta se inscrever na Wiki, sem absolutamente nenhum custo, e caso você tenha interesse em tornar-se um membro da comunidade, o valor é de US$ 50 anuais com direito a alguns brindes. 
O evento foi o primeiro do gênero na América Latina, e o pioneirismo tem sempre os resultados que pendem para o sucesso e a análise que pode transformar um potencial fracasso em valiosas lições aprendidas. Os meus comentários estão abaixo, e o material do evento pode ser visto aqui.
O que foi muito bom?
- O local, um auditório bem localizado, amplo e com uma acústica impecável, apesar de ter algumas cadeiras precisando de manutenção. A tradução simultânea também deve ser elogiada, o tradutor conseguiu entender o que era Cross Site Scripting e similares sem perder o tom.
- Os coffee breaks foram uma surpresa, pois não estavam previstos e serviram não só para matar a fome do pessoal no meio da tarde, mas também para um bom networking entre os participantes.
- As palestras superaram as expectativas de muita gente com quem conversei. O Gary McGraw mostrou que além de entender do assunto sabe falar bem para a audiência e mostrou um bom humor que eu não esperava.
O que poderia ser melhor?
- A transmissão das palestras foi em tempo real e com uma qualidade bem razoável, porém todos que não eram do mundo Microsoft relataram problemas em abrir os links, um problema que os usuários do Windows Media Player não tiveram.
O que foi muito ruim?
- O gigantesco no show dos congressistas. Foram 450 pessoas inscritas, e pelos vídeos do evento você pode notar que a platéia flutuou entre 150-90 pessoas, o que impediu que muita gente interessada pudesse participar.
Em 2010 o OWASP AppSec Brasil será realizado no auditório da Fundação CPQD em Campinas, SP, em breve as novidades para começarmos a organização e buscar transformar este evento em algo constante no calendário brasileiro.
