<div>Its fair to say that the document <strong>describes</strong> [at a high level] Veracode's approach to assesment of A1-A10.</div>
<div> </div>
<div>So I could live with that claim as opposed to saying Veracode have a Top 10 methodology or Veracodes approach is somehow Top10 compliant.</div>
<div> </div>
<div>[As a side note they dont seem to do any manual code review/manual verification]</div>
<div> </div>
<div>A7 for example (crypto) requires manual intervention in relation to identifying what data is actually required to be encrypted. [ business context]</div>
<div>Simply saying an API call to invoke DES is a weakness ony makes sense if the actual data being encrypted requires encryption in the first place and if so how sensitive is it.</div>
<div> </div>
<div> </div>
<div><br><br> </div>
<div class="gmail_quote">On 28 June 2010 21:00, Jeff Williams <span dir="ltr"><<a href="mailto:jeff.williams@owasp.org">jeff.williams@owasp.org</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">
<div lang="EN-US" vlink="purple" link="blue">
<div>
<p class="MsoNormal"><span style="FONT-SIZE: 11pt; COLOR: #1f497d">Board,</span></p>
<p class="MsoNormal"><span style="FONT-SIZE: 11pt; COLOR: #1f497d"> </span></p>
<p class="MsoNormal"><span style="FONT-SIZE: 11pt; COLOR: #1f497d">Here’s what I received from Veracode.  I’m encouraged to see their analysis of their coverage and that their service involves a combination of techniques including manual analysis.</span></p>

<p class="MsoNormal"><span style="FONT-SIZE: 11pt; COLOR: #1f497d"> </span></p>
<p class="MsoNormal"><span style="FONT-SIZE: 11pt; COLOR: #1f497d">I do have quite a few questions, not the least of which is how they stitch together traces that go outside the code. For example, do they treat everything from the database as “tainted” and accept the false alarms, or do they understand Hibernate and all the various mappings to really get a good data flow.  My suspicion is that they simply drop all of those traces.</span></p>

<div>
<p class="MsoNormal"><span style="FONT-SIZE: 11pt; COLOR: #1f497d"> </span></p>
<p class="MsoNormal"><span style="FONT-SIZE: 11pt; COLOR: #1f497d">Where to go next??</span></p>
<p class="MsoNormal"><span style="FONT-SIZE: 11pt; COLOR: #1f497d"> </span></p>
<p class="MsoNormal"><span style="FONT-SIZE: 11pt; COLOR: #1f497d">--Jeff</span></p>
<p class="MsoNormal"><span style="FONT-SIZE: 11pt; COLOR: #1f497d"> </span></p>
<p class="MsoNormal"><span style="FONT-SIZE: 11pt; COLOR: #1f497d"> </span></p></div>
<p class="MsoNormal"><span style="FONT-SIZE: 11pt; COLOR: #1f497d"> </span></p>
<div>
<div style="BORDER-RIGHT: medium none; PADDING-RIGHT: 0in; BORDER-TOP: #b5c4df 1pt solid; PADDING-LEFT: 0in; PADDING-BOTTOM: 0in; BORDER-LEFT: medium none; PADDING-TOP: 3pt; BORDER-BOTTOM: medium none">
<p class="MsoNormal"><b><span style="FONT-SIZE: 10pt">From:</span></b><span style="FONT-SIZE: 10pt"> Chris Wysopal [mailto:<a href="mailto:cwysopal@Veracode.com" target="_blank">cwysopal@Veracode.com</a>] <br><b>Sent:</b> Monday, June 28, 2010 12:46 PM<br>
<b>To:</b> Jeff Williams<br><b>Cc:</b> Matthew Moynahan; Bill Husted<br><b>Subject:</b> RE: Veracode and OWASP Top 10</span></p></div></div>
<p class="MsoNormal"> </p>
<div>
<p class="MsoNormal"><span style="FONT-SIZE: 10pt; COLOR: #1f497d"> </span><span style="FONT-SIZE: 10pt"></span></p></div>
<div>
<p class="MsoNormal"><span style="FONT-SIZE: 10pt; COLOR: #1f497d">Hi Jeff,</span><span style="FONT-SIZE: 10pt"></span></p></div>
<div>
<p class="MsoNormal"><span style="FONT-SIZE: 10pt; COLOR: #1f497d"> </span><span style="FONT-SIZE: 10pt"></span></p></div>
<div>
<p class="MsoNormal"><span style="FONT-SIZE: 10pt; COLOR: #1f497d">After reviewing our automated scan documentation and our manual services handbook I have put together a document describing how our service tests for the OWASP Top 10 2010.  This gives an overview of how our multiple testing techniques are used to test whether or not an application qualifies for the VerAfied High Assurance OWASP Top 10 mark.</span><span style="FONT-SIZE: 10pt"></span></p>
</div>
<div>
<p class="MsoNormal"><span style="FONT-SIZE: 10pt; COLOR: #1f497d"> </span><span style="FONT-SIZE: 10pt"></span></p></div>
<div>
<p class="MsoNormal"><span style="FONT-SIZE: 10pt; COLOR: #1f497d"> </span><span style="FONT-SIZE: 10pt"></span></p></div>
<div>
<p class="MsoNormal"><span style="FONT-SIZE: 10pt; COLOR: #1f497d">This is the level of detail I have been able to pull together from our current sources in a few days.  I agree that more detail would be good in the future and I will work towards an ASVS view of our service.</span><span style="FONT-SIZE: 10pt"></span></p>
</div>
<div>
<p class="MsoNormal"><span style="FONT-SIZE: 10pt; COLOR: #1f497d"> </span><span style="FONT-SIZE: 10pt"></span></p></div>
<div>
<p class="MsoNormal"><span style="FONT-SIZE: 10pt; COLOR: #1f497d">Cheers,</span><span style="FONT-SIZE: 10pt"></span></p></div>
<div>
<p class="MsoNormal"><span style="FONT-SIZE: 10pt; COLOR: #1f497d">Chris</span><span style="FONT-SIZE: 10pt"></span></p></div>
<div>
<p class="MsoNormal"><span style="FONT-SIZE: 10pt; COLOR: #1f497d"> </span><span style="FONT-SIZE: 10pt"></span></p></div>
<div>
<p class="MsoNormal"><span style="FONT-SIZE: 10pt; COLOR: #1f497d"> </span><span style="FONT-SIZE: 10pt"></span></p></div>
<div>
<p class="MsoNormal"><span style="FONT-SIZE: 10pt"> </span></p></div>
<div>
<p class="MsoNormal"><span style="FONT-SIZE: 10pt"> </span></p></div></div></div><br>_______________________________________________<br>Owasp-board mailing list<br><a href="mailto:Owasp-board@lists.owasp.org">Owasp-board@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-board" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a><br><br></blockquote></div><br><br clear="all"><br>-- <br>Eoin Keary<br>OWASP Global Board Member<br>
OWASP Code Review Guide Lead Author<br><br>Sent from my i-Transmogrifier<br><a href="http://asg.ie/">http://asg.ie/</a><br><a href="https://twitter.com/EoinKeary">https://twitter.com/EoinKeary</a><br>