<div dir="ltr">Ciao Ikki, questo è esattamente quello che avevo in mente quando ho parlato di adottare un progetto opensource. In pratica una sorta di 'dating website' per applicazioni web e security specialist... mi piace... "Owasp Date an App project"... :-)<div><br></div><div>A parte gli scherzi, io sono interessato e grazie per aver condiviso.</div><div><br></div><div>Paolo</div></div><div class="gmail_extra"><br><div class="gmail_quote">2015-01-26 2:06 GMT+01:00 Luca Carettoni <span dir="ltr"><<a href="mailto:luca.carettoni@ikkisoft.com" target="_blank">luca.carettoni@ikkisoft.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Prendendo spunto dall'email di Paolo, parto con un thread dedicato all'idea di "adottare" un progetto OpenSource.<div> <br></div><div>E' da qualche mese che ho iniziato a dare una mano (pro bono) a Ntop/Ntopng (il cui maintainer e' un nostro connazionale). Devo dire che l'esperienza e' interessante. Ho iniziato con una security review (<a href="http://www.ntop.org/ndpi/released-ndpi-1-5-1-and-ntopng-1-2-1/" target="_blank">http://www.ntop.org/ndpi/released-ndpi-1-5-1-and-ntopng-1-2-1/</a>) e ora ci scambiamo spesso email quando c'e' qualcosa da fare sull'aspetto security.</div><div><br></div><div>Detto questo -  mi piacerebbe mettere in piedi un progetto piu' "formale" che permetta di avere un impatto piu' grosso. Direi che potrebbe essere addirittura un progetto OWASP indipendente (come la Testing Guide e le altre).</div><div><br></div><div>Ecco una serie di attivita' che si potrebbero fare:</div><div><br></div><div>(a) Formalizzare un processo di "Adopt OSS" in cui volontari propongono la loro disponibilita' (tempo, skills, etc.) e progetti OpenSource richiedono aiuto. E' importante assicurare che da entrambi i lati ci sia un interesse, e che le competenze siano adeguate per il tipo di OSS. In questo senso, il progetto puo' aiutare a fare il "matching" creando linee guida e documenti informativi</div><div><br></div><div>(b) Creare whitepaper e documentazione per aiutare i vari progetti OSS per fare security</div><div>E.g. Come funziona la vulnerability disclosure, template per la pagina web "security", consigli su come gestire security advisory</div><div><br></div><div>Almeno come la vedo io, l'idea non e' quella di creare un altro oCERT o simili (<a href="https://nodesecurity.io/" target="_blank">https://nodesecurity.io/</a>) ma piu' che altro mettere in piedi un framework per agevolare la collaborazione tra security practitioners e progetti OpenSource.</div><div><br></div><div>Se c'e' qualcuno seriamente intenzionato a dare una mano, possiamo organizzare una Skype call per capire se e' una cosa fattibile.</div><div><br></div><div>Ciao,<br>Luca</div><span class="HOEnZb"><font color="#888888"><div><div><br></div>-- <br><div><div dir="ltr"><div><div dir="ltr"><table cellspacing="0" cellpadding="0" width="100%"><tbody><tr><td><pre>Luca Carettoni
</pre></td></tr></tbody></table></div></div></div></div>
</div></font></span></div>
<br>_______________________________________________<br>
Owasp-italy mailing list<br>
<a href="mailto:Owasp-italy@lists.owasp.org">Owasp-italy@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-italy" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-italy</a><br>
<br></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature">$ cd /pub<br>$ more beer<br><br>Il primo blog di application security italiano morbido fuori e croccante dentro: <a href="http://codiceinsicuro.it" target="_blank">http://codiceinsicuro.it</a></div>
</div>