[Owasp-brazil] CCWAPSS - Common Criteria WebApplication SecurityScoring

Wagner Elias wagner.elias at gmail.com
Mon Nov 19 13:27:04 EST 2007


Hahaha...Isso que eu gosto Cima, simples, objetivo e direto.

Por isso mesmo eu utilizaria apenas como Gap Analysis. Eu tenho uma
pontuação de 1 a 10 e complemento com uma análise nos projetos do OWASP.
Todos os projetos de Gap Analysis que eu já realizei possuem uma métrica e
um forte trabalho de análise e conclusão. O ponto chave do seu comentário é
o "Final Customer", pois, ele espera no mínimo um check-list que aponte
quais as vulnerabilidades e o nível. Já eu como consultor não sinto
confortável em desenvolver trabalhos apenas baseado em check-lists ou
padrões. Eu utilizo uma referência (OWASP, ISSO, BS, Etc...) e uma análise
caso a caso.

Att.
Wagner Elias 

-----Original Message-----
From: owasp-brazil-bounces at lists.owasp.org
[mailto:owasp-brazil-bounces at lists.owasp.org] On Behalf Of Fernando Cima
Sent: segunda-feira, 19 de novembro de 2007 13:03
To: owasp-brazil at lists.owasp.org
Subject: Re: [Owasp-brazil] CCWAPSS - Common Criteria WebApplication
SecurityScoring

Oi Wagner,

Eu não conhecia, li e para dizer a verdade achei bem ruim.

Depois de ler o paper, a pergunta que ficou é "para quê serve isso?". De uma
avaliação de segurança um "final customer" vai esperar uma descrição das
vulnerabilidades encontradas e o seu nível de risco, ou se a aplicação está
em conformidade com alguma norma ou padrão. Uma nota de 1 a 10 para mim não
diz nada e não serve para nada.

Mas os desenhos ficaram bonitos ;)

Abracos,

- Fernando Cima



-----Original Message-----
From: owasp-brazil-bounces at lists.owasp.org
[mailto:owasp-brazil-bounces at lists.owasp.org] On Behalf Of Wagner Elias
Sent: segunda-feira, 19 de novembro de 2007 07:52
To: owasp-brazil at lists.owasp.org
Subject: Re: [Owasp-brazil] CCWAPSS - Common Criteria Web Application
SecurityScoring

Eu conheço Rodrigo. Ainda não tive oportunidade de utilizar mas, achei
interessante para realizar um Gap Analysis de segurança em aplicações web.

Att.
Wagner Elias

-----Original Message-----
From: owasp-brazil-bounces at lists.owasp.org
[mailto:owasp-brazil-bounces at lists.owasp.org] On Behalf Of Rodrigo Montoro
(Sp0oKeR)
Sent: sábado, 17 de novembro de 2007 10:52
To: owasp-brazil at lists.owasp.org
Subject: [Owasp-brazil] CCWAPSS - Common Criteria Web Application
SecurityScoring

Alguém conhece ou já usou?

The purpose of the scoring scale CCWAPSS (to be pronounced [sisiwaps]) is to
share a common evaluation method for web application security assessments
between security auditors and final customers.

http://ccwapss.blogspot.com/
http://www.xmcopartners.com/whitepapers/ccwapss_1.1.pdf


[]z! Rodrigo Montoro (Sp0oKeR)

--
=========================
     Rodrigo Ribeiro Montoro
      Analista de Segurança
    SnortCP / RHCE / LPIC-I
 http://spookerlabs.multiply.com
=========================
_______________________________________________
Owasp-brazil mailing list
Owasp-brazil at lists.owasp.org
https://lists.owasp.org/mailman/listinfo/owasp-brazil

_______________________________________________
Owasp-brazil mailing list
Owasp-brazil at lists.owasp.org
https://lists.owasp.org/mailman/listinfo/owasp-brazil
_______________________________________________
Owasp-brazil mailing list
Owasp-brazil at lists.owasp.org
https://lists.owasp.org/mailman/listinfo/owasp-brazil



More information about the Owasp-brazil mailing list