<div>Hey Chapter,</div>
<div> </div>
<div>Souds like a good event.....(and debate)....</div>
<div> </div>
<div>I don&#39;t believe open source is of any higher risk than closed..... (Think Linux, Struts, Spring)</div>
<div> </div>
<div>1. There are more reviewers, users. Issues ted to be caught quicker (for more popular projects).</div>
<div>2. The code can be reviewed by anyone.</div>
<div>3. The communities are generally larger.</div>
<div>4. The software foodchain is easier to track than closed source.</div>
<div> </div>
<div>But there is a risk of </div>
<div> </div>
<div>1. Online-line dependencies in the build process - E.g. Maven downloading dependencies in realtime. (&quot;cool&quot; name is XBI - Cross build Injection).</div>
<div><a href="https://www.fortify.com/downloads2/public/fortify_attacking_the_build.pdf">https://www.fortify.com/downloads2/public/fortify_attacking_the_build.pdf</a>  (from 2007)</div>
<div> </div>
<div>2. Not checking check sums (MD5 may be used but is weaker day by day)</div>
<div><br>Recently (a few moths ago) I reviewed (closed) code for a client for security (Secure code review). It was developed by a third party. I found 4 issues, all loading obfuscated code from a jar dependency (renamed ojdbc14.jar to look like an oracle jar). One of which was a Mailer which sent HTML form submission data to a &quot;funny&quot; range of email addresses. It would not of worked as port 25, 465 etc was blocked on the firewall in this case (phew).</div>

<div> </div>
<div>See you all on the 8th for beers!!!</div>
<div> </div>
<div> </div>
<div> </div>
<div><br> </div>
<div class="gmail_quote">On 6 December 2011 12:15, Fabio Cerullo <span dir="ltr">&lt;<a href="mailto:fcerullo@owasp.org">fcerullo@owasp.org</a>&gt;</span> wrote:<br>
<blockquote style="BORDER-LEFT: #ccc 1px solid; MARGIN: 0px 0px 0px 0.8ex; PADDING-LEFT: 1ex" class="gmail_quote">
<p class="MsoNormal"><span style="BACKGROUND-COLOR: rgb(255,255,255); FONT-SIZE: 15px"><font color="#500050" face="Arial, sans-serif"><b>Upcoming webcast: Open to Trouble: The Risks of Open Source Code in Application Development</b></font></span></p>

<p style="FONT-FAMILY: arial, sans-serif; COLOR: rgb(34,34,34); FONT-SIZE: 13px" class="MsoNormal"><span style="BACKGROUND-COLOR: rgb(255,255,255); FONT-FAMILY: Arial, sans-serif; COLOR: rgb(80,0,80); FONT-SIZE: 15px"><br>
</span></p>
<p style="FONT-FAMILY: arial, sans-serif; COLOR: rgb(34,34,34); FONT-SIZE: 13px" class="MsoNormal"><span style="BACKGROUND-COLOR: rgb(255,255,255); FONT-FAMILY: Arial, sans-serif; COLOR: rgb(80,0,80); FONT-SIZE: 15px">If you’re developing your own software and applications or having that process outsourced, chances are good that open source code is being used. While there are benefits from using open source code, there is also significant downside. How does a security department manage the technical and operational risks, regulatory/compliance issues and security and brand concerns the use of open source code can expose an organization to? Join (ISC)2 and Black Duck Software for our final ThinkTank Roundtable of 2011 on December 15, 2011 at 12:00 noon Eastern time as we examine these risks and issues</span></p>

<p class="MsoNormal"><span style="FONT-FAMILY: Arial, sans-serif; FONT-SIZE: 11pt"><br></span></p>
<p class="MsoNormal"><span style="FONT-FAMILY: Arial, sans-serif; FONT-SIZE: 11pt">Date: December 15, 2011 at 12:00 noon Eastern<br></span><span style="FONT-FAMILY: Arial, sans-serif; FONT-SIZE: 11pt">Registration here: </span><span style="FONT-FAMILY: Arial, sans-serif; FONT-SIZE: 11pt"><span style="COLOR: rgb(0,102,204)"><a style="COLOR: rgb(17,85,204)" href="http://www.brighttalk.com/webcast/5385/38563" target="_blank">http://www.brighttalk.com/webcast/5385/38563</a></span></span><span style="FONT-FAMILY: Arial, sans-serif; COLOR: rgb(80,0,80); FONT-SIZE: 15px"> </span></p>

<p class="MsoNormal"><span style="FONT-FAMILY: Arial, sans-serif; COLOR: rgb(80,0,80); FONT-SIZE: 15px"><br></span></p>
<p class="MsoNormal"><span style="FONT-FAMILY: Arial, sans-serif; COLOR: rgb(80,0,80); FONT-SIZE: 15px">Any questions, please let me know.</span></p>
<p class="MsoNormal"><span style="FONT-FAMILY: Arial, sans-serif; COLOR: rgb(80,0,80); FONT-SIZE: 15px"><br></span></p>
<p class="MsoNormal"><span style="FONT-FAMILY: Arial, sans-serif; COLOR: rgb(80,0,80); FONT-SIZE: 15px">Thanks,</span></p>
<p class="MsoNormal"><span style="FONT-FAMILY: Arial, sans-serif; COLOR: rgb(80,0,80); FONT-SIZE: 15px"><br></span></p>
<p class="MsoNormal"><span style="FONT-FAMILY: Arial, sans-serif; COLOR: rgb(80,0,80); FONT-SIZE: 15px">Fabio</span></p><br>_______________________________________________<br>Owasp-ireland mailing list<br><a href="mailto:Owasp-ireland@lists.owasp.org">Owasp-ireland@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-ireland" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-ireland</a><br><br></blockquote></div><br><br clear="all"><br>-- <br>Eoin Keary<br>OWASP Global Board Member (Vice Chair)<br>
<br><a href="https://twitter.com/EoinKeary" target="_blank">https://twitter.com/EoinKeary</a> 
<div><br></div><br>