[BSI-Webbaustein-Review] Und los gehts!, war: Weiteres Vorgehen

Ralf Reinhardt ralf.reinhardt at owasp.org
Mo Apr 16 18:59:21 UTC 2012


Hallo Markus und Liste,

wunderbar. Ich habe gerade unter
<https://www.owasp.org/index.php/OWASP_Review_BSI_IT-Grundschutz_Baustein_Webanwendungen#Actual_Work_in_Progress>
eine Tabelle angelegt, unter der sich jeder sein
"Divide-and-Conquer"-Stückchen reservieren kann. Vergesst bitte nicht,
im Kommentar Euer Ziel-Datum als "Rekursionsende" anzugeben :-)

Ich bitte auch alle fleißigen Helfer, die bereits einzelne Punkte
abgearbeitet haben, sich in die Tabelle einzutragen und den Status auf
"in Bearbeitung" oder "erledigt" zu setzen. 

Kurze Diskussion: Welche Stati (als Lateiner pfeif' ich auf den Duden)
wollen wir vergeben?
- offen
- in Bearbeitung
- erledigt
- peer-revied (gibt's da was besseres?)
- im Dokument 

Schöne Grüße,
Ralf

Am Montag, den 16.04.2012, 20:27 +0200 schrieb Markus Miedaner:
> Hallo Zusammen,
> 
> Bitte plant mich mit 2h / Woche ein. Mit dem Hauptdokument habe ich bereits angefangen (vgl. WIKI) und würde da gerne weiter machen...
> 
> Viele Grüße,
> Markus
> 
> ________________________________________
> From: bsi-webbaustein-review-bounces at lists.owasp.org [bsi-webbaustein-review-bounces at lists.owasp.org] On Behalf Of Ralf Reinhardt [ralf.reinhardt at owasp.org]
> Sent: Monday, April 16, 2012 7:59 PM
> To: Matthias Rohr
> Cc: bsi-webbaustein-review at lists.owasp.org
> Subject: [BSI-Webbaustein-Review] Und los gehts!, war:  Weiteres Vorgehen
> 
> Hallo Matthias, hallo Liste,
> 
> vielen Dank für den Weckruf! Jetzt, nachdem die Meisten wieder aus dem
> hoffentlich erholsamen Oster-Urlaub zurück sind, kann's nun endlich los
> gehen :-)
> 
> Wenn wir den Anspruch eines vollständigen Reviews erheben wollen, dann
> ist der von Matthias vorgeschlagene Weg sicher der am zielgerichtetsten.
> Die erste Frage, die wir uns hier stellen müssen: Wollen und können wir
> dies in der Kürze der Zeit? Zum (zeitlichen) Können:
> 
> (1) Wir haben etwa 20 Personen auf dieser Liste, wobei schon einige beim
> Einschreiben angegeben haben, "Nur-Leser" sein zu wollen. Ich bitte
> hiermit alle, die in der zeitlichen Lage und Willens sind, in den
> nächsten sechs Wochen systematisch "auf Zuteilung" Arbeit erledigen zu
> wollen, kurz einen Überblick zu geben, wie viele Stunden "echte" Arbeit
> sie pro Woche zur Verfügung stellen können / wollen. Diese Angaben
> müssen belastbar sein. Wenn's nicht geht, dann geht's halt nicht.
> 
> Wenn wir tatsächlich genug Personentage zusammen tragen können, dann
> sollten wir wie von Matthias vorgeschlagen vorgehen. Zum Aufwand:
> 
> Aus meiner Sicht haben wir 78 "Teile", die wir "vergeben" können:
> 
> 1 x Hauptdokument, Beschreibung mit Abgrenzung
> 38 x Hauptdokument, Gefährdung
> 36 x Hauptdokument, Maßnahme
> 
> 1 x Hilfsmittel
> 1 x Goldene Regeln
> 1 x Matrix
> 
> In Summe sind wir bei ca. 98 Seiten, wobei die "Teile" je nach Umfang
> zwischen 1 und 6 Seiten stark sind.
> 
> Man kann nun Diskutieren, ob die Gefährdungen zusammen mit den Maßnahmen
> gereviewt werden sollten (unter Zuhilfenahme der Matrix) oder ob das an
> sich egal sein sollte, aber diese Diskussion sollten wir erst führen,
> wenn wir wissen, dass wir den "auf Zuteilung" Ansatz fahren können.
> 
> (2) Unabhängig von obigen Diskurs sollten wir den "lockeren"
> Feedbackprozess im Wiki
> <https://www.owasp.org/index.php/Talk:OWASP_Review_BSI_IT-Grundschutz_Baustein_Webanwendungen> und auch gerne hier in der Mailingliste (wer z.B. keinen Wiki-Account hat) offen lassen.
> 
> Es geht imho gar nicht so sehr darum, in die Tiefe jeder Gefährdung oder
> Maßnahme zu bohren und jedes Wort auf die Goldwaage zu legen, sondern
> die "low hanging fruits", also offensichtlichen Unsinn oder
> fehlerträchtige oder missverständliche Formulierungen heraus zu filtern.
> In die Breite (ggf. "quer") zu gehen ist imho weitaus wichtiger als
> einen kompletten, tiefen Rewrite durchzuführen (dafür wurden schon
> andere gezahlt, wir gucken jetzt nur noch, ob's das (Steuergeld)
> halbwegs wert war ;-).
> 
> (3) Eine Gefahr für die Glaubwürdigkeit des German Chapters oder die
> OWASP-Arbeit per se sehe ich persönlich hierbei nicht: Das BSI wird im
> Sommer veröffentlichen, egal ob wir oder irgend jemand sonst auf der
> Welt Feedback zurück spiegeln oder nicht. Wer könnte dies in diesem Fall
> aber besser als wir alle zusammen? Deswegen ran, so oder so! Wenn der
> veröffentlichte Baustein am Ende schlecht sein sollte, dann hat primär
> das BSI ein Problem, nicht wir. Wir haben auch keine Garantie, dass
> unser Feedback tatsächlich berücksichtigt wird.
> 
> (4) Am Ende werden wir alle zusammengetragenen Infos in ein hübsches
> Dokument gießen, und das auf die Projektseite packen und dem BSI zur
> Verfügung stellen. Haben wir alle Punkte abgedeckt, dann ist das prima -
> haben wir nur einen Teil, dann ist das immerhin besser als nichts. Das
> BSI hat zwischenzeitlich auch einen Link auf OWASP gesetzt (vgl.
> <https://www.bsi.bund.de/DE/Themen/weitereThemen/ITGrundschutzKataloge/Download/download_node.html> ) ich bin schon sehr gespannt, ob dies zu weiteren Review-Freiwilligen führt :-)
> 
> (5) Kais Kriterien stehen im Wiki zur Diskussion. Wem die nicht gefallen
> oder wer meint, dass da was fehlt / verbesserungswürdig ist, der kann
> das gerne kommentieren. Viele der genannten Kriterien haben
> "Meta-Charakter", wie z.B. "Der Baustein soll alle wichtigen Themen der
> Entwicklung sicherer Webanwendungen enthalten". Das wiederum kann nur
> jemand entscheiden, der das gesamte Dokument kennt, hier ist die
> "Teilen"-Methode nicht wirklich anwendbar. Für einen "Quer-Review, um
> offensichtlichen Unsinn zu sanitizen" sollte man die Regeln im
> Hinterkopf behalten, im Zweifel aber immer nach "seinem Gusto" vorgehen
> (und das ggf. Begründen).
> 
> (6) Ich denke, dass es wichtig ist, dass unser Review-Dokument
> konkretisiert, ergänzt oder korrigiert und keine zusätzlichen Fragen
> aufwirft, die im Raum stehen bleiben und nicht beantwortet werden.
> 
> Der Baustein soll am Ende - so habe ich es zumindest verstanden - ein
> pragmatischer Leitfaden sein, gedacht für Personen, die sich ggf. zum
> ersten Mal mit dem Thema Web Application Security beschäftigt. Es geht
> also imho nicht um einen hoch-akademischen Anspruch. Der generelle
> Inhalt, die Verständlichkeit und Anwendbarkeit (und ggf.
> Vollständigkeit) sollten im Vordergrund stehen, auch in unserem Review
> Dokument.
> 
> (7) Die Frage von Matthias - "Wer sitzt gerade an welcher Gefährdung?"
> ist berechtigt, ich werde asap im Wiki eine Inhaltsübersicht mit den
> Gefährdungen / Maßnahmen, usw. einstellen. Wer dann einen Punkt
> bearbeitet sollte dann dort einen Semaphor setzen ;-) Wer das nicht
> kann, weil er keinen Wiki-Account hat, der möge das einfach in die Liste
> posten.
> 
> Bis die Tage,
> Ralf
> 
> Zurück zu (1): Wer hat wann wie viel Zeit?
> 
> BTW: (1) bis (7) - Das O in OWASP steht für "open" - die von mir hier
> ausgeführten Punkte sind nicht in Stein gemeißelt und stellen eine ganz
> persönliche Meinung dar, die gerne diskutiert werden kann.
> 
> 
> Am Samstag, den 14.04.2012, 09:58 +0200 schrieb Matthias Rohr:
> > Hallo Liste,
> >
> > da die Diskussison zu diesem nicht ganz unwichtigen Thema trotz großem
> > Interesses, bisher ja leider noch nicht so richtig in die Gänge gekommen
> > ist, will ich hiermit mal den Versuch starten das Ganze etwas anzuschieben.
> >
> > Es bleiben ja nun noch sechs Wochen Zeit, wird also schon etwas knapp.
> >
> > Habe er mal kurz überschlagen, es sind so ungefähr 38 Gefährdungen +
> > Matrix die insgesamt gereviewt werden müssen. Davon sind noch ungefähr
> > 37 offen, also doch noch etwas zu tun, wenn man das vernünftig
> > abschließen will. Zumal ich zwei Kapitel bereits durch habe und
> > feststellen musste, dass der Review doch recht mühsam ist.
> >
> > Meiner Meinung nach kommen wir hiermit wirklich nur so voran, wenn wir
> > die Arbeit klar aufteilen und Arbeitspakete (Review bestimmter
> > Gefährdungen) einzelnen Personen oder Gruppen zuteilen.
> >
> > Arbeitet denn momentan grade schon jemand am Review bestimmter
> > Gefährdungen?
> >
> > Ich habe mir bereits eine Gefährdung sowie da die Goldenen Regel
> > angesehen, könnte aber in den kommenden Wochen sicher noch so 4-5
> > weitere durchsehen.
> >
> > Wäre wäre sonst noch bereit, hier in den nächsten Wochen mitzuarbeiten
> > und in welchem Umfang?
> >
> > @Ralf: Was ist hier dein Vorschlag als Projektleiter?
> >
> > Viele Grüße
> >
> > Matthias
> > _______________________________________________
> > BSI-Webbaustein-Review mailing list
> > BSI-Webbaustein-Review at lists.owasp.org
> > https://lists.owasp.org/mailman/listinfo/bsi-webbaustein-review
> 
> 
> _______________________________________________
> BSI-Webbaustein-Review mailing list
> BSI-Webbaustein-Review at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/bsi-webbaustein-review




More information about the BSI-Webbaustein-Review mailing list