<div>I am Totally behind a common identification nomenclature (or whatever you want to call it).</div>
<div>I have also seen refs to the OWASP TG in industry in the pat year or so.</div>
<div>It&#39;s something I&#39;ve wanted to do since the summit in portugal</div>
<div><br><br> </div>
<div class="gmail_quote">2010/1/7 Matteo Meucci <span dir="ltr">&lt;<a href="mailto:matteo.meucci@gmail.com">matteo.meucci@gmail.com</a>&gt;</span><br>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">Hi,<br>I totally agree, that should be a great added value for the OWASP Guides.<br>I think we can create a page on our wiki for that purpose, tracking<br>
our brainstorming and the links between the Guides.<br><br>As Mike said, we can start from here:<br><a href="http://www.owasp.org/index.php/Testing_Checklist" target="_blank">http://www.owasp.org/index.php/Testing_Checklist</a><br>
<br>So we can create the OWASP naming convention (e.g. OWASP-DV-001 -<br>Reflected XSS) and mapping that with all the Guides.<br>In that way we can reach 2 goals in my opinion:<br>- update the Guides and understand what the DG,CRG,TG, Top10, ASVS are<br>
missing and what we can improve in each guide (also if some controls<br>are specific to certain guides).<br>- create a more accessible starting point for the exploration of the<br>wiki from a user perspective.<br><br>Thanks,<br>
Mat<br>
<div>
<div></div>
<div class="h5"><br>On Wed, Jan 6, 2010 at 11:59 PM, Mike Boberski &lt;<a href="mailto:mike.boberski@gmail.com">mike.boberski@gmail.com</a>&gt; wrote:<br>&gt; Right, the next step if there were agreement would be to basically take the<br>
&gt; table from the TG that summarizes the IDs, add a couple columns, and start<br>&gt; mapping.<br>&gt;<br>&gt; Then, each doc would be updated in turn, and yes each would then have to<br>&gt; address any holes. Not an issue from the ASVS or dev guide perspective.<br>
&gt;<br>&gt; Mike<br>&gt;<br>&gt;<br>&gt; On Wed, Jan 6, 2010 at 5:09 PM, Brad Causey &lt;<a href="mailto:bradcausey@gmail.com">bradcausey@gmail.com</a>&gt; wrote:<br>&gt;&gt;<br>&gt;&gt; Thinking from the perspective of a purely ignorant person, this is<br>
&gt;&gt; rather confusing. Problem is, it totally makes sense as to why you did<br>&gt;&gt; what you did, to me. So which of those numbers would be final one? And<br>&gt;&gt; with that number alone, could I find what I needed in each guide?<br>
&gt;&gt;<br>&gt;&gt; *thinking aloud*<br>&gt;&gt; Ideally, we have 2 ultimate goals in my mind. (bear with me here)<br>&gt;&gt; 1. create a central ID number, and provide a mapping to each project.<br>&gt;&gt; (maybe a good interim goal)<br>
&gt;&gt; 2. Actually _change_ each OWASP guide to match the TG or some agreed<br>&gt;&gt; upon numbering system.<br>&gt;&gt;<br>&gt;&gt; Now, you are probably all asking &quot;why are we chosing to go with the<br>&gt;&gt; TG?&quot;. Well I wasn&#39;t sold either, and I&#39;m still not 100%. But it does<br>
&gt;&gt; appear to provide detailed numberin for specific vulnerabilities, and<br>&gt;&gt; has a pretty good following. (and I&#39;m partial because I currently rely<br>&gt;&gt; on it)<br>&gt;&gt; Here is the catch! There are going to be holes no matter which<br>
&gt;&gt; direction we take, for example, the TG has items the ASVS doesn&#39;t.<br>&gt;&gt; Which is why I&#39;m voting for a super detailed comprehensive &quot;master<br>&gt;&gt; list&quot; and match them up for now, item #1. And allow each project to<br>
&gt;&gt; catch up to the list, ultimately leading to a truly complete #2.<br>&gt;&gt;<br>&gt;&gt; I&#39;m literally thinking out loud here guys, so fire back full force.<br>&gt;&gt; */thinking aloud*<br>&gt;&gt;<br>&gt;&gt;<br>
&gt;&gt; -Brad Causey<br>&gt;&gt; CISSP, MCSE, C|EH, CIFI, CGSP<br>&gt;&gt;<br>&gt;&gt; <a href="http://www.owasp.org/" target="_blank">http://www.owasp.org</a><br>&gt;&gt; --<br>&gt;&gt; Never underestimate the time, expense, and effort an opponent will<br>
&gt;&gt; expend to break a code. (Robert Morris)<br>&gt;&gt; --<br>&gt;&gt;<br>&gt;&gt;<br>&gt;&gt;<br>&gt;&gt; On Wed, Jan 6, 2010 at 1:44 PM, Boberski, Michael [USA]<br>&gt;&gt; &lt;<a href="mailto:boberski_michael@bah.com">boberski_michael@bah.com</a>&gt; wrote:<br>
&gt;&gt; &gt; Let us work on this using a specific example, SQL Injection:<br>&gt;&gt; &gt;<br>&gt;&gt; &gt; Here is a proposal for your consideration:<br>&gt;&gt; &gt;<br>&gt;&gt; &gt; ASVS Ref. Number<br>&gt;&gt; &gt; OWASP-V0604<br>
&gt;&gt; &gt;<br>&gt;&gt; &gt; TG Ref. Number<br>&gt;&gt; &gt; OWASP-T0604-DV-005<br>&gt;&gt; &gt; (compared to currently: OWASP-DV-005)<br>&gt;&gt; &gt;<br>&gt;&gt; &gt; CRG Ref. Number<br>&gt;&gt; &gt; OWASP-C0604-DV-005<br>
&gt;&gt; &gt;<br>&gt;&gt; &gt; Guide Ref. Number<br>&gt;&gt; &gt; OWASP-D0604<br>&gt;&gt; &gt; (goes into guidance at this level, in the next release)<br>&gt;&gt; &gt;<br>&gt;&gt; &gt; Where,<br>&gt;&gt; &gt;<br>&gt;&gt; &gt; OWASP-V0604 == V6.4  Verify that all untrusted data that is output to<br>
&gt;&gt; &gt; SQL interpreters use parameterized interfaces, prepared statements, or are<br>&gt;&gt; &gt; escaped properly.<br>&gt;&gt; &gt;<br>&gt;&gt; &gt; Mike B.<br>&gt;&gt; &gt; _______________________________________________<br>
&gt;&gt; &gt; Owasp-topten mailing list<br>&gt;&gt; &gt; <a href="mailto:Owasp-topten@lists.owasp.org">Owasp-topten@lists.owasp.org</a><br>&gt;&gt; &gt; <a href="https://lists.owasp.org/mailman/listinfo/owasp-topten" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-topten</a><br>
&gt;&gt; &gt;<br>&gt;&gt; _______________________________________________<br>&gt;&gt; Owasp-testing mailing list<br>&gt;&gt; <a href="mailto:Owasp-testing@lists.owasp.org">Owasp-testing@lists.owasp.org</a><br>&gt;&gt; <a href="https://lists.owasp.org/mailman/listinfo/owasp-testing" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-testing</a><br>
&gt;<br>&gt;<br>&gt; _______________________________________________<br>&gt; Owasp-testing mailing list<br>&gt; <a href="mailto:Owasp-testing@lists.owasp.org">Owasp-testing@lists.owasp.org</a><br>&gt; <a href="https://lists.owasp.org/mailman/listinfo/owasp-testing" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-testing</a><br>
&gt;<br>&gt;<br><br><br><br></div></div><font color="#888888">--<br>Matteo Meucci<br>OWASP-Italy Chair, CISSP, CISA<br><a href="http://www.owasp.org/index.php/Italy" target="_blank">http://www.owasp.org/index.php/Italy</a><br>
OWASP Testing Guide lead<br><a href="http://www.owasp.org/index.php/Testing_Guide" target="_blank">http://www.owasp.org/index.php/Testing_Guide</a><br></font>
<div>
<div></div>
<div class="h5">_______________________________________________<br>Owasp-testing mailing list<br><a href="mailto:Owasp-testing@lists.owasp.org">Owasp-testing@lists.owasp.org</a><br><a href="https://lists.owasp.org/mailman/listinfo/owasp-testing" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-testing</a><br>
</div></div></blockquote></div><br><br clear="all"><br>-- <br>Eoin Keary<br>OWASP Global Board Member<br>OWASP Code Review Guide Lead Author<br><br><a href="http://asg.ie/">http://asg.ie/</a><br><a href="https://twitter.com/EoinKeary">https://twitter.com/EoinKeary</a><br>