A Fundação OWASP® trabalha para melhorar a segurança do software através dos seus projetos de software open source liderados pela comunidade, centenas de capítulos em todo o mundo, dezenas de milhares de membros e pela organização de conferências locais e globais.
O próximo capitulo da OWASP Porto, decorre na sede da Ordem dos Engenheiros - Região Norte e as inscrições já estão a decorrer
PROGRAMA
18:00 – Introdução e Boas-vindas pela liderança do capítulo OWASP Porto
18:15 – Aplicação do Threat Modelling em ambientes de desenvolvimento modernos, por Gonçalo Matias
19:00 – Jedi^WTruques Mentais GenAI - São estes os chatbots seguros que procuras?, por Bruno Morisson
20:00 – Bebidas e Jantar
Palestras
Título: Aplicação do Threat Modelling em ambientes de desenvolvimento modernos
Orador: Gonçalo Matias
Resumo:
No desenvolvimento de software acelerado dos dias de hoje, compreender e mitigar riscos de segurança é fundamental. Adotar atividades de segurança desde o início do ciclo de vida do desenvolvimento de software é crucial para a gestão eficiente dos recursos e para controlar os custos do desenvolvimento. O threat modelling destaca-se como uma das formas mais eficazes de “deslocar para a esquerda”.
Esta sessão irá aproveitar o facto de que cada pessoa já está a aplicar consistentemente alguma forma de threat modelling nas suas atividades diárias e expandirá essa capacidade para uma competência mais estruturada. Vamos explorar várias abordagens, incluindo como a Ocado Technology aplica a sua própria metodologia ao threat modelling.
Quer estejas a desenvolver plugins simples ou sistemas de grande escala, a garantir a segurança de aplicações serverless ou arquiteturas complexas de microserviços, a trabalhar em sprints ágeis ou com metodologias tradicionais waterfall, esta sessão irá equipar os participantes com estratégias para analisar o perfil de risco de uma aplicação e aplicar processos de threat modelling adequados a esse perfil.
Biografia:
Gonçalo Matias é Senior Application Security Engineer na Ocado Technology, com mais de 20 anos de experiência em desenvolvimento de software em várias plataformas, linguagens e frameworks. Entusiasta da segurança desde os seus primeiros projetos, a sua carreira evoluiu do desenvolvimento de software para funções especializadas em segurança, incluindo investigação e pen testing. Gonçalo tem um interesse profundo na interação entre segurança e objetivos de negócio, com o threat modelling como a sua atividade preferida na área da segurança. Toca guitarra elétrica e é instrutor de "Haidong Gumdo", uma arte marcial coreana com espada.
Título: Jedi^MTruques Mentais GenAI - São estes os chatbots seguros que procuras?
Orador: Bruno Morisson
Resumo:
Após experimentar vários desafios públicos em chatbots LLM—como Gandalf, PromptAirlines e outros—decidi criar o meu próprio. Não só para entender como os LLMs funcionam, mas para ver com que facilidade os conseguia quebrar.
Nesta palestra, irei explorar os riscos de segurança da Inteligência Artificial Generativa, particularmente chatbots LLM, e investigar vulnerabilidades que muitas vezes são ignoradas. Desde a divulgação de informações sensíveis a prompt injections e jailbreaking, irei mostrar exemplos reais que demonstram como estes sistemas podem ser manipulados. Não é necessário usar chapéu de alumínio.
Biografia:
Bruno Morisson é um especialista experiente em cibersegurança com mais de duas décadas de experiência em segurança ofensiva, pen testing e red teaming. Como Partner e Diretor de Serviços de Segurança Ofensiva na Devoteam Cyber Trust, lidera testes de segurança de classe mundial em aplicações web e móveis, IoT, OT/SCADA e em frameworks de penetration testing orientados por ameaças, como TIBER-EU e DORA.
Além do seu trabalho profissional, Bruno é uma força motriz na comunidade de cibersegurança. É fundador e organizador da BSidesLisbon, a principal conferência de segurança de Portugal, e serve como membro do CREST Europe Council, ajudando a moldar os padrões da indústria. As suas contribuições para a pesquisa incluem várias divulgações de CVE, módulos para o Metasploit e publicações sobre segurança SAP, honeypots e sistemas de auditoria Linux.
Bruno é mestre em Segurança da Informação pela Royal Holloway, University of London, e possui uma lista impressionante de certificações, incluindo OSCP, CISSP, CISA e GIAC GPEN.
E caso tenhas curiosidade — sim, toda esta biografia foi gerada por GenAI.
