<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>
<meta http-equiv=Content-Type content="text/html; charset=us-ascii">
<meta name=Generator content="Microsoft Word 12 (filtered medium)">
<style>
<!--
 /* Font Definitions */
 @font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
        {font-family:"Book Antiqua";
        panose-1:2 4 6 2 5 3 5 3 3 4;}
@font-face
        {font-family:Consolas;
        panose-1:2 11 6 9 2 2 4 3 2 4;}
 /* Style Definitions */
 p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p.MsoPlainText, li.MsoPlainText, div.MsoPlainText
        {mso-style-priority:99;
        mso-style-link:"Plain Text Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:10.0pt;
        font-family:Consolas;}
span.EmailStyle17
        {mso-style-type:personal-reply;
        font-family:"Book Antiqua","serif";
        color:black;
        font-weight:normal;
        font-style:normal;
        text-decoration:none none;}
span.PlainTextChar
        {mso-style-name:"Plain Text Char";
        mso-style-priority:99;
        mso-style-link:"Plain Text";
        font-family:Consolas;}
.MsoChpDefault
        {mso-style-type:export-only;}
@page Section1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.Section1
        {page:Section1;}
-->
</style>
<!--[if gte mso 9]><xml>
 <o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
 <o:shapelayout v:ext="edit">
  <o:idmap v:ext="edit" data="1" />
 </o:shapelayout></xml><![endif]-->
</head>

<body lang=EN-US link=blue vlink=purple>

<div class=Section1>

<p class=MsoNormal><span style='font-family:"Book Antiqua","serif";color:black'>Hi
Bob. Done, assignment made: <a
href="http://code.google.com/p/owasp-development-guide/wiki/ProjectManagement_Assignments">http://code.google.com/p/owasp-development-guide/wiki/ProjectManagement_Assignments</a>
<o:p></o:p></span></p>

<p class=MsoNormal><span style='font-family:"Book Antiqua","serif";color:black'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal><span style='font-family:"Book Antiqua","serif";color:black'>Basically
what we want to do is to re-sort the previous guide according to ASVS
requirements, add some worksheets to help people get started collecting
information in order to then act on guide guidance, and add some front matter,
that&#8217;s basically all we&#8217;re shooting for, other than to fill in some
gaps w.r.t. previous guide content and also ASVS requirements, in anticipation
of a next revision of that document.<o:p></o:p></span></p>

<p class=MsoNormal><span style='font-family:"Book Antiqua","serif";color:black'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal><span style='font-family:"Book Antiqua","serif";color:black'>Please
reach out to Kevin to coordinate, copied, but yes, that would be a fine first
step, to create the wiki pages in order to rough in the outline/TOC, per this
guidance, from earlier emails:<o:p></o:p></span></p>

<p class=MsoNormal><span style='font-family:"Book Antiqua","serif";color:black'><o:p>&nbsp;</o:p></span></p>

<p class=MsoPlainText>Here is the revised outline for the detailed sections,
using input validation as the example, the online version of which has yet to
be updated accordingly:<o:p></o:p></p>

<p class=MsoPlainText><o:p>&nbsp;</o:p></p>

<p class=MsoPlainText><o:p>&nbsp;</o:p></p>

<p class=MsoPlainText># OWASP-0500 Input Validation<o:p></o:p></p>

<p class=MsoPlainText><o:p>&nbsp;</o:p></p>

<p class=MsoPlainText>&nbsp;&nbsp;&nbsp; * Build or buy?<o:p></o:p></p>

<p class=MsoPlainText>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; o
OWASP-0502 Verify that a positive validation pattern is defined and applied to
all input.<o:p></o:p></p>

<p class=MsoPlainText>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
+ OWASP-0502-DG-01 Define a positive validation pattern for all input<o:p></o:p></p>

<p class=MsoPlainText>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
+ OWASP-0502-DG-02 Apply a positive validation pattern to all input<o:p></o:p></p>

<p class=MsoPlainText>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; o
...<o:p></o:p></p>

<p class=MsoPlainText>&nbsp;&nbsp;&nbsp; * Worksheets<o:p></o:p></p>

<p class=MsoPlainText>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; o
Input validation worksheet<o:p></o:p></p>

<p class=MsoPlainText>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; o
...<o:p></o:p></p>

<p class=MsoPlainText>&nbsp;&nbsp;&nbsp; * See also<o:p></o:p></p>

<p class=MsoPlainText><o:p>&nbsp;</o:p></p>

<p class=MsoPlainText><o:p>&nbsp;</o:p></p>

<p class=MsoPlainText>For &quot;# OWASP-0500 Input Validation&quot;, there
shall be a brief explanation about what input validation is and examples of
related vulnerabilities, containing recycled or new content.<o:p></o:p></p>

<p class=MsoPlainText><o:p>&nbsp;</o:p></p>

<p class=MsoPlainText>For &quot;Build or buy&quot;, this shall be the guts of
each section, containing recycled or new content, according to ASVS requirement
and derived guide requirement. The reader should be able to determine if
available solutions are sufficient, whether they'll have to build or buy, after
reading through this section, that is the &quot;sanity check&quot; that will be
performed when reviewing this section. Subsections shall refer to any available
worksheets in the next section.<o:p></o:p></p>

<p class=MsoPlainText><o:p>&nbsp;</o:p></p>

<p class=MsoPlainText>For &quot;Worksheets&quot;, there shall be one or more
worksheets per section. This will be entirely new content.<o:p></o:p></p>

<p class=MsoPlainText><o:p>&nbsp;</o:p></p>

<p class=MsoPlainText>For &quot;See also&quot;, there shall be references to
cheat sheets and other sections and OWASP materials as appropriate. <o:p></o:p></p>

<p class=MsoPlainText><o:p>&nbsp;</o:p></p>

<p class=MsoPlainText>This structure will also allow us to insert a
&quot;Sample code&quot; section later on, but I do not wish to confuse matters
by trying to juggle code and content at this point.<o:p></o:p></p>

<p class=MsoNormal><span style='font-family:"Book Antiqua","serif";color:black'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal><span style='font-family:"Book Antiqua","serif";color:black'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal><span style='font-family:"Book Antiqua","serif";color:black'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal><span style='font-family:"Book Antiqua","serif";color:black'>Best,</span><span
style='font-family:"Calibri","sans-serif";color:black'><o:p></o:p></span></p>

<p class=MsoNormal><span style='font-family:"Book Antiqua","serif";color:black'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal><span style='font-family:"Book Antiqua","serif";color:black'>Mike
B.<o:p></o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:black'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal><span style='font-size:8.0pt;font-family:"Calibri","sans-serif";
color:gray'>There is no &quot;trust but verify&quot; when it comes to
application security! <o:p></o:p></span></p>

<p class=MsoNormal><span style='font-size:8.0pt;font-family:"Calibri","sans-serif";
color:gray'>Verify, THEN trust! Read the entire post: <a
href="http://hello.bah.com/blogs/index.php/SoftwareAssuranceCoP/2010/04/01/there_is_no_trust_but_verify"><span
style='color:blue'>Inside Booz Allen</span></a>, <a
href="http://mikeboberski.blogspot.com/2010/04/there-is-no-trust-but-verify.html"><span
style='color:blue'>Outside of Booz Allen</span></a><o:p></o:p></span></p>

<p class=MsoNormal><span style='font-family:"Book Antiqua","serif";color:black'><o:p>&nbsp;</o:p></span></p>

<div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'>

<p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From:</span></b><span
style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> Robert Casazza
[mailto:rcasazza@gmail.com] <br>
<b>Sent:</b> Monday, April 05, 2010 9:09 PM<br>
<b>To:</b> Boberski, Michael [USA]<br>
<b>Subject:</b> Re: Help out with OWASP Development Guide?<o:p></o:p></span></p>

</div>

<p class=MsoNormal><o:p>&nbsp;</o:p></p>

<div>

<p class=MsoNormal>&nbsp;<o:p></o:p></p>

</div>

<div>

<p class=MsoNormal>Sounds good Mike.<o:p></o:p></p>

</div>

<div>

<p class=MsoNormal>&nbsp;<o:p></o:p></p>

</div>

<div>

<p class=MsoNormal>I'd be interested in working on the Cryptography section... <o:p></o:p></p>

</div>

<div>

<p class=MsoNormal>&nbsp;<o:p></o:p></p>

</div>

<div>

<p class=MsoNormal>So I understand.. for now we're looking to recycle sections
with new numbering from the current 2005 guide, correct? So I should go through
that and set up sections in the wiki?<o:p></o:p></p>

</div>

<div>

<p class=MsoNormal>&nbsp;<o:p></o:p></p>

</div>

<div>

<p class=MsoNormal>Bob<o:p></o:p></p>

</div>

<div>

<p class=MsoNormal><br>
<br>
&nbsp;<o:p></o:p></p>

</div>

<div>

<p class=MsoNormal>On Mon, Apr 5, 2010 at 3:00 PM, Boberski, Michael [USA] &lt;<a
href="mailto:boberski_michael@bah.com">boberski_michael@bah.com</a>&gt; wrote:<o:p></o:p></p>

<div>

<div>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-family:"Book Antiqua","serif";color:black'>Hi again Bob. The main
requirement for contributing to the project is a desire to learn and to
participate. I will provide guidance to people who reach out and who
participate. </span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-family:"Book Antiqua","serif";color:black'>&nbsp;Is there any
particular area you&#8217;d be interested in working on? Here are the current
assignments: <a
href="http://code.google.com/p/owasp-development-guide/wiki/ProjectManagement_Assignments"
target="_blank">http://code.google.com/p/owasp-development-guide/wiki/ProjectManagement_Assignments</a>
</span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-family:"Book Antiqua","serif";color:black'>&nbsp;</span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-family:"Book Antiqua","serif";color:black'>For example, the task
across all of the sections that people are working on right this moment is to
fill in a prescribed outline that we&#8217;ve iteratively refined, and go
searching for previous guide materials to recycle, just to collect it up. The
idea is that this is being worked in an Agile-like manner, i.e. iteratively and
incrementally.</span><o:p></o:p></p>

<div>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-family:"Book Antiqua","serif";color:black'>&nbsp;</span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-family:"Book Antiqua","serif";color:black'>Best,</span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-family:"Book Antiqua","serif";color:black'>&nbsp;</span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-family:"Book Antiqua","serif";color:black'>Mike B.</span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:black'>&nbsp;</span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:8.0pt;color:gray'>There is no &quot;trust but verify&quot;
when it comes to application security! </span><o:p></o:p></p>

</div>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:8.0pt;color:gray'>Verify, THEN trust! Read the entire post: <a
href="http://hello.bah.com/blogs/index.php/SoftwareAssuranceCoP/2010/04/01/there_is_no_trust_but_verify"
target="_blank">Inside Booz Allen</a>, <a
href="http://mikeboberski.blogspot.com/2010/04/there-is-no-trust-but-verify.html"
target="_blank">Outside of Booz Allen</a></span><o:p></o:p></p>

<div>

<div>

<div>

<p class=MsoNormal style='mso-margin-top-alt:auto;margin-bottom:12.0pt'>----------
Forwarded message ----------<br>
From: <b>Mike Boberski</b> &lt;<a href="mailto:mike.boberski@gmail.com"
target="_blank">mike.boberski@gmail.com</a>&gt;<br>
Date: Sat, Apr 3, 2010 at 11:33 AM<br>
Subject: Re: Help out with OWASP Development Guide?<br>
To: Robert Casazza &lt;<a href="mailto:rcasazza@gmail.com" target="_blank">rcasazza@gmail.com</a>&gt;<o:p></o:p></p>

<div>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>Hi
Bob, thanks for the note. Always looking for volunteers. I'll write more on
Monday.<o:p></o:p></p>

</div>

<div>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>&nbsp;<o:p></o:p></p>

</div>

<div>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>Best,<o:p></o:p></p>

</div>

<div>

<p class=MsoNormal style='mso-margin-top-alt:auto;margin-bottom:12.0pt'><br
clear=all>
<span style='color:#888888'>Mike</span><o:p></o:p></p>

</div>

<div>

<div>

<div>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>On
Fri, Apr 2, 2010 at 9:56 PM, Robert Casazza &lt;<a
href="mailto:rcasazza@gmail.com" target="_blank">rcasazza@gmail.com</a>&gt;
wrote:<o:p></o:p></p>

<div>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>&nbsp;<o:p></o:p></p>

</div>

<div>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>Hi
Mike,<o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>&nbsp;<o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>Not
sure if it&#8217;s too late to get involved, but I&#8217;d like to help out
with the upcoming development guide.<o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>&nbsp;<o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>I&#8217;ve
been in software development for 20 years, I am currently VP and Chief Software
Architect for Diversified Investment Advisors.<o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>&nbsp;<o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>I
am NOT a security expert&#8230; but maybe I can help out anyway.<o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>&nbsp;<o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>Let
me know&#8230;<o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>&nbsp;<o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>Thanks,<o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>Bob<o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>&nbsp;<o:p></o:p></p>

</div>

</div>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>&nbsp;<o:p></o:p></p>

</div>

</div>

</div>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>&nbsp;<o:p></o:p></p>

</div>

</div>

</div>

</div>

</div>

<p class=MsoNormal><o:p>&nbsp;</o:p></p>

</div>

</body>

</html>