<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META content="text/html; charset=us-ascii" http-equiv=Content-Type>
<META name=GENERATOR content="MSHTML 8.00.6001.18828"></HEAD>
<BODY>
<DIV dir=ltr align=left><SPAN class=000214920-11012010><FONT 
face="Book Antiqua">FYI, I flipped the detailed requirement identifier and 
document code around, updated <A 
href="http://www.owasp.org/index.php/Common_OWASP_Numbering">http://www.owasp.org/index.php/Common_OWASP_Numbering</A>&nbsp;, 
brilliant suggestion, thanks. </FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=000214920-11012010><FONT 
face="Book Antiqua"></FONT></SPAN>&nbsp;</DIV>
<DIV dir=ltr align=left><SPAN class=000214920-11012010><FONT 
face="Book Antiqua">I think we might have it, with this one.</FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=000214920-11012010><FONT 
face="Book Antiqua"></FONT></SPAN>&nbsp;</DIV>
<DIV dir=ltr align=left><SPAN class=000214920-11012010>
<DIV dir=ltr align=left><SPAN class=142455014-11012010><FONT 
face="Book Antiqua">Any other comments, keep 'em coming!</FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=142455014-11012010><FONT 
face="Book Antiqua"></FONT></SPAN>&nbsp;</DIV>
<DIV dir=ltr align=left><SPAN class=142455014-11012010><SPAN 
class=000214920-11012010><FONT 
face="Book Antiqua">Best,</FONT></SPAN></SPAN></DIV></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=000214920-11012010><FONT 
face="Book Antiqua"></FONT></SPAN>&nbsp;</DIV>
<DIV align=left><FONT face="Book Antiqua">Mike&nbsp;<SPAN 
class=760305716-15062009>B.</SPAN></FONT></DIV>
<DIV>
<DIV align=left>
<DIV align=left><FONT face="Book Antiqua"><SPAN 
class=760305716-15062009></SPAN></FONT></DIV></DIV></DIV><BR>
<DIV dir=ltr lang=en-us class=OutlookMessageHeader align=left>
<HR tabIndex=-1>
<FONT size=2 face=Tahoma><B>From:</B> rick.mitchell@bell.ca 
[mailto:rick.mitchell@bell.ca] <BR><B>Sent:</B> Monday, January 11, 2010 10:26 
AM<BR><B>To:</B> Boberski, Michael [USA]; owasp-testing@lists.owasp.org; 
owasp-topten@lists.owasp.org; 
owasp-application-security-verification-standard@lists.owasp.org; 
owasp-guide@lists.owasp.org<BR><B>Subject:</B> RE: Common numbering proposal # 
3<BR></FONT><BR></DIV>
<DIV></DIV>
<DIV dir=ltr align=left><SPAN class=495281715-11012010><FONT color=#0000ff 
size=2 face=Arial>I'm not saying that we should remove the document reference. 
I'm just suggesting that it should be part of the optional section. To someone 
(i.e.: a client I'm preparing a report for) </FONT></SPAN><SPAN 
class=495281715-11012010><FONT color=#0000ff size=2 face=Arial>OWASP-DG-0604 != 
OWASP-TG-0604 though equating/aligning all 0604s seems to be what we're trying 
to accomplish.</FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=495281715-11012010><FONT color=#0000ff 
size=2 face=Arial></FONT></SPAN>&nbsp;</DIV>
<DIV dir=ltr align=left><SPAN class=495281715-11012010><FONT color=#0000ff 
size=2 face=Arial>The way I understand the ultimate goal 0604 isn't really a TG 
or DG item it's an OWASP item that should be comon across all documents. I guess 
you could think of it as significant digits or something like that: 
OWASP-Item-Doc-Optional Deprication or Historic reference.</FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=495281715-11012010></SPAN><SPAN 
class=495281715-11012010></SPAN><SPAN class=495281715-11012010><FONT 
color=#0000ff size=2 face=Arial></FONT></SPAN>&nbsp;</DIV>
<DIV dir=ltr align=left><SPAN class=495281715-11012010><FONT color=#0000ff 
size=2 face=Arial>Rick</FONT></SPAN></DIV><BR>
<DIV dir=ltr lang=en-us class=OutlookMessageHeader align=left>
<HR tabIndex=-1>
<FONT size=2 face=Tahoma><B>From:</B> Boberski, Michael [USA] 
[mailto:boberski_michael@bah.com] <BR><B>Sent:</B> January 11, 2010 9:58 
AM<BR><B>To:</B> Mitchell, Rick (6030318); owasp-testing@lists.owasp.org; 
owasp-topten@lists.owasp.org; 
owasp-application-security-verification-standard@lists.owasp.org; 
owasp-guide@lists.owasp.org<BR><B>Subject:</B> RE: Common numbering proposal # 
3<BR></FONT><BR></DIV>
<DIV></DIV>
<DIV dir=ltr align=left><SPAN class=142455014-11012010><FONT 
face="Book Antiqua">Rick, good points.</FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=142455014-11012010><FONT 
face="Book Antiqua"></FONT></SPAN>&nbsp;</DIV>
<DIV dir=ltr align=left><SPAN class=142455014-11012010><FONT 
face="Book Antiqua">If one looks at each document/guide's instantiation of a 
requirement&nbsp;as an iteration of a given base requirement though, we'd still 
need a document code.</FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=142455014-11012010><FONT 
face="Book Antiqua"></FONT></SPAN>&nbsp;</DIV>
<DIV dir=ltr align=left><SPAN class=142455014-11012010><FONT 
face="Book Antiqua">The 14-40 are in the near term intended to allow for a 
transition from existing numbering schemes in a next release of a given guide, 
then used in the long term primarily for retiring numbers.</FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=142455014-11012010><FONT 
face="Book Antiqua"></FONT></SPAN>&nbsp;</DIV>
<DIV dir=ltr align=left><SPAN class=142455014-11012010><FONT 
face="Book Antiqua">The above said, I'm going to think through paragraph "<SPAN 
class=628442114-11012010><FONT color=#0000ff size=2 face=Arial>If for client 
reporting etc</FONT></SPAN>"&nbsp;further...</FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=142455014-11012010><FONT 
face="Book Antiqua"></FONT></SPAN>&nbsp;</DIV>
<DIV dir=ltr align=left><SPAN class=142455014-11012010><FONT 
face="Book Antiqua">Any other comments, keep 'em coming!</FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=142455014-11012010><FONT 
face="Book Antiqua"></FONT></SPAN>&nbsp;</DIV>
<DIV dir=ltr align=left><SPAN class=142455014-11012010><FONT 
face="Book Antiqua">Best,</FONT></SPAN></DIV>
<DIV><FONT face="Book Antiqua"></FONT>&nbsp;</DIV>
<DIV align=left><FONT face="Book Antiqua">Mike&nbsp;<SPAN 
class=760305716-15062009>B.</SPAN></FONT></DIV>
<DIV><FONT face="Book Antiqua"></FONT>&nbsp;</DIV><BR>
<DIV dir=ltr lang=en-us class=OutlookMessageHeader align=left>
<HR tabIndex=-1>
<FONT size=2 face=Tahoma><B>From:</B> rick.mitchell@bell.ca 
[mailto:rick.mitchell@bell.ca] <BR><B>Sent:</B> Monday, January 11, 2010 9:46 
AM<BR><B>To:</B> Boberski, Michael [USA]; owasp-testing@lists.owasp.org; 
owasp-topten@lists.owasp.org; 
owasp-application-security-verification-standard@lists.owasp.org; 
owasp-guide@lists.owasp.org<BR><B>Subject:</B> RE: Common numbering proposal # 
3<BR></FONT><BR></DIV>
<DIV></DIV>
<DIV dir=ltr align=left><SPAN class=628442114-11012010><FONT color=#0000ff 
size=2 face=Arial>Great work so far everyone.</FONT></SPAN></DIV>
<DIV>&nbsp;</DIV>
<DIV dir=ltr align=left><SPAN class=628442114-11012010><FONT color=#0000ff 
size=2 face=Arial>Just a few thoughts:</FONT></SPAN></DIV>
<DIV><FONT color=#0000ff size=2 face=Arial></FONT>&nbsp;</DIV>
<DIV dir=ltr align=left><SPAN class=628442114-11012010><FONT color=#0000ff 
size=2 face=Arial>Your forth example: "OWASP-TG-0604-DV-005", references the 
Testing Guide by 0604 which doesn't exist. Is the plan to renumber the testing 
guide (and other docs) before creating the mapping? </FONT></SPAN><SPAN 
class=628442114-11012010><FONT color=#0000ff size=2 face=Arial>If mapping is no 
longer the end goal but rather a common numbering scheme, then a document 
reference shouldn't be needed at location 6-7. The numbering scheme should be 
totally separate from all documents and all OWASP documents should be expected 
to adhere to it (IMHO).</FONT></SPAN></DIV>
<DIV><FONT color=#0000ff size=2 face=Arial></FONT>&nbsp;</DIV>
<DIV dir=ltr align=left><SPAN class=628442114-11012010><FONT color=#0000ff 
size=2 face=Arial>i.e.: Examples 3 and 
4:<BR>OWASP-DG-0604<BR>OWASP-TG-0604-DV-005<BR>Should really be the same thing: 
OWASP-0604. </FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=628442114-11012010><FONT color=#0000ff 
size=2 face=Arial></FONT></SPAN>&nbsp;</DIV>
<DIV dir=ltr align=left><SPAN class=628442114-11012010><FONT color=#0000ff 
size=2 face=Arial>If for client reporting etc.&nbsp;some traditional or 
historic&nbsp;reference is required then this could be included at the end of 
the new common identifier as you've suggested&nbsp;on the wiki for proposal 
3&nbsp;(with the inclusion of the document identifier, i.e.: OWASP-0604-TGDV-005 
or OWASP-0604-TG-DV-005).</FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=628442114-11012010><FONT color=#0000ff 
size=2 face=Arial></FONT></SPAN>&nbsp;</DIV>
<DIV dir=ltr align=left><SPAN class=628442114-11012010><FONT color=#0000ff 
size=2 face=Arial>Just my 2 cents.</FONT></SPAN></DIV>
<DIV>&nbsp;</DIV>
<DIV dir=ltr align=left><SPAN class=628442114-11012010><FONT color=#0000ff 
size=2 face=Arial>Rick</FONT></SPAN></DIV><BR>
<DIV dir=ltr lang=en-us class=OutlookMessageHeader align=left>
<HR tabIndex=-1>
<FONT size=2 face=Tahoma><B>From:</B> owasp-testing-bounces@lists.owasp.org 
[mailto:owasp-testing-bounces@lists.owasp.org] <B>On Behalf Of </B>Boberski, 
Michael [USA]<BR><B>Sent:</B> January 11, 2010 9:14 AM<BR><B>To:</B> 
owasp-testing@lists.owasp.org; owasp-topten@lists.owasp.org; 
owasp-application-security-verification-standard@lists.owasp.org; 
owasp-guide@lists.owasp.org<BR><B>Subject:</B> [Owasp-testing] RFC: Common 
numbering proposal # 3<BR></FONT><BR></DIV>
<DIV></DIV>Please see <A 
href="http://www.owasp.org/index.php/Common_OWASP_Numbering">http://www.owasp.org/index.php/Common_OWASP_Numbering</A> 
for a next proposal, refined based on inputs provided so 
far.<BR><BR>Best,<BR><BR>Mike </BODY></HTML>