[Owasp-germany] Whitepaper-Idee - Mitstreiter gesucht

Tobias Glemser tglemser at tele-consulting.com
Wed Nov 26 05:46:21 EST 2008


Servus zusammen,

erstmal nochmals herzlichen Dank an die Organisatoren der ersten OWASP
Konferenz des deutschen Chapters. Selbst ohne die kurze Vorbereitungsdauer
wohlwollend zu berücksichtigen ist eine tolle Veranstaltung entstanden.
Glückwunsch und merci.

Wie auf der Systems mit einigen Vertrern des deutschen Chapters schon
vorangesprochen und mit diversen Teilnehmern der Konferenz nochmals
diskutiert plane ich, gemeinsam mit Euch, ein Whitepaper mit dem derzeit
noch recht sperrigen Arbeitstitel „Tipps und Tricks zur Auswahl von
Dienstleistern zur Durchführung von externen Sicherheitsprüfung gegen
Webanwendungen“ zu verfassen und im Rahmen der OWASP zu Veröffentlichen. Wir
als Anbieter erleben häufig, dass ausschreibende Stellen sich redlich
bemühen, die Umgebung die es zu Testen gilt zu beschreiben und in
irgendeiner Weise auch ein Mengengerüst zur Vergleichbarkeit der Anbieter zu
entwickeln. Häufig geht das zum Leidwesen der ausschreibenden Stelle (und
auch der Anbieter) schief. 

Abstract:
Das Whitepaper soll im Endstadium Entwicklern und Betreibern von
Webanwendungen Möglichkeiten aufzeigen, Vergleichbarkeit bei der
Anbieterauswahl durch Ausschreibungen bzw. ausschreibungsähnliche
Auswahlverfahren herzustellen. Erreicht werden soll dies zum einen über die
Beschreibung von Vorraussetzungen auf Seiten des Auftraggebers (z. B
Erstellen eines Mengengerüsts), als auch über Nennung von notwendigen und
optionalen Kriterien bzgl. der Leistungsfähigkeit der Anbieter.

Team:
Insgesamt sollten nicht mehr als sechs Personen am Paper beteiligt sein,
ideal sind wohl eher vier. Gut wäre eine 50 zu 50 Aufteilung zwischen
Entwickler/Betreiber, also Auftraggeberseite und Dienstleistern auf
Auftragnehmerseite.

Kollaboration und Projektmanagement:
Bzgl. der Werkzeuge gibt es derzeit keine mir bekannten Vorgaben und ich
stelle auch keine (OO dürfte wohl den Vorzug vor MS-Office bekommen). Ideal
wäre die Schnürung von Arbeitspaketen (AP) und die Erstellung eines internen
Zeitplans. Die APs werden entsprechend auf die einzelnen Köpfe verteilt. Im
Anschluss werden die gesammelten APs zusammengeführt und an die
Projektbeteiligten zur Korrektur und Kommentierung verteilt. Ggf. bietet
sich hier im Nachgang auch ein kleines Meet&Great&Work an ;)
Bzgl. der Vorgehensweise QS innerhalb der OWASP werde ich mich direkt mit
Georg in Verbindung setzen (also ob das Whitepaper erstmal noch auf der
Mailingliste zur Diskussion gestellt, Mitglieder des Chapters oder eine
Boards drüberschauen, etc).

Status:
Im Rahmen eines kleinen Brainstormings habe ich bereits eine erste Version
einer Kapitelübersicht erstellt, die es zu verfeinern gilt, um daraus die
APs zu entwickeln. Bei Interesse schick ich das gerne an die einzelnen
Interessenten vorab rum.

Nächster Schritt:
Wer Interesse an einer Mitarbeit hat, möge sich bitte mit einer kurzen eMail
bei melden. _Konstruktive_ Kommentare, sofern in diesem Stadium bereits
vorhanden, sind natürlich auch gerne gesehen.

Ich freue mich auf Antworten!

Grüße

Tobias



More information about the Owasp-germany mailing list