Hi, please see below an email I just sent to the &quot;Secure Coding&quot; mailing list which will make more sense after you read my next email (called &quot;Request for help on: OWASP O2 Platform&quot;)<br><br>Dinis Cruz<br>
<br>Blog: <a href="http://diniscruz.blogspot.com">http://diniscruz.blogspot.com</a><br>Twitter: <a href="http://twitter.com/DinisCruz">http://twitter.com/DinisCruz</a><br>Web: <a href="http://www.owasp.org/index.php/O2">http://www.owasp.org/index.php/O2</a><br>
<br><div class="gmail_quote">---------- Forwarded message ----------<br>From: <b class="gmail_sendername">Dinis Cruz</b> <span dir="ltr">&lt;<a href="mailto:dinis@ddplus.net">dinis@ddplus.net</a>&gt;</span><br>Date: 2009/11/16<br>
Subject: Re: [Owasp-o2-platform] [SC-L] Static Analysis Findings<br>To: &quot;McGovern, James F. (eBusiness)&quot; &lt;<a href="mailto:James.McGovern@thehartford.com">James.McGovern@thehartford.com</a>&gt;<br>Cc: <a href="mailto:owasp-o2-platform@lists.owasp.org">owasp-o2-platform@lists.owasp.org</a>, <a href="mailto:sc-l@securecoding.org">sc-l@securecoding.org</a><br>
<br><br>The OWASP O2 Platform (see <a href="http://www.owasp.org/index.php/OWASP_O2_Platform" target="_blank">http://www.owasp.org/index.php/OWASP_O2_Platform</a> and <a href="http://www.o2-ounceopen.com/" target="_blank">http://www.o2-ounceopen.com/</a> ) already is able to import into its internal Findings format (defined by the C# interfaces IO2Finding and IO2Trace (see <a href="http://www.owasp.org/index.php/OWASP_O2_Platform/Docs/O2Findings_Schema" title="OWASP O2 Platform/Docs/O2Findings Schema" target="_blank">OWASP_O2_Platform/Docs/O2Findings_Schema</a>)) artifacts from:<br>

<ul><li>Ounce Labs *.ozasmt format version 5.x and 6.x</li><li>Ounce Labs *.ozasmt format version 7.x</li><li>AppScan Developer Edition (latest version)</li><li>Cat.NET v1.0 (not the version released last week, but the one before)</li>

<li>FindBugs</li><li>CodeCrawler</li><li>Fortify  *.fvdl v1.3 format (very basic mapping from the only sample assessment file I could find on google (stunnel.fvdl))</li><li>WebScarab logs (the main release not the NG one)</li>

</ul>Note that most of the &#39;converters&#39; above were written as PoC to show O2&#39;s interoperability, and they really need some users of those tools to take a good look at the conversion and provide feedback on the best way to represent/convert that data.<br>

<br>The key factor of the O2 Platform, is that it was designed to make it easy and fast to add new filters. For XML formats, my process is usually:<br><ul><li>step 1) grab the XSD (if not available use Visual Studio to create it), and use the XSD.EXE tool (Visual Studio SDK) to create a C# object representation of it</li>

<li>step 2) Use C# Serializer to convert the source file into this C# object</li><li>step 3) figure out how the XML file works and write a transformation C# script into the O2 Findings format</li><li>step 4) I usually write steps 1 to 3 using the <a href="http://deploy.o2-ounceopen.com/O2_Tool_O2Scripts/" target="_blank">O2 Tool - Scripts</a> module (since that allows for easy interaction with other O2 controls (like the Findings Viewer)) and when the script is mature, I add it as a core O2 feature (usually to the O2_ImportExport_Misc project)<br>

</li></ul>I&#39;m pushing the O2 Platform to support as many file formats as possible, and <b>my plan is to eventually cover ALL OWASP tools and ALL major WebAppSec and Network tools. </b><br><br>In the short term, I (or other O2 developers) can write these converters (since all we need is an XSD and somebody who knows how that file works), but ideally, <b>in the future, each tool developed should be responsible for maintaining and updating their O2 Converters (since we will need to support ALL published versions of their tools).</b><br>

<br>And if you don&#39;t like to write in C#, you can write it in Python (<a href="http://deploy.o2-ounceopen.com/O2_Tool_Python/" title="http://deploy.o2-ounceopen.com/O2_Tool_Python/" rel="nofollow" target="_blank">O2_Tool_Python</a>) or in Java (<a href="http://deploy.o2-ounceopen.com/O2_Tool_JavaExecution/" title="http://deploy.o2-ounceopen.com/O2_Tool_JavaExecution/" rel="nofollow" target="_blank">O2_Tool_JavaExecution</a>)<br>

<br>For reference I added to <a href="http://www.owasp.org/index.php/O2#tab=O2_Documentation" target="_blank">http://www.owasp.org/index.php/O2#tab=O2_Documentation</a> WIKI pages, a copy of the current O2 Import functions and schemas (XSD). Here are the main links:<br>

<ul><li> <a href="http://www.owasp.org/index.php/OWASP_O2_Platform/Docs/O2Findings_Schema" title="OWASP O2 Platform/Docs/O2Findings Schema" target="_blank">OWASP_O2_Platform/Docs/O2Findings_Schema</a>
<ul><li> <a href="http://www.owasp.org/index.php/OWASP_O2_Platform/Docs/O2Findings_Schema/O2AssessmentLoad_OunceV6" title="OWASP O2 Platform/Docs/O2Findings Schema/O2AssessmentLoad OunceV6" target="_blank">OWASP_O2_Platform/Docs/O2Findings_Schema/O2AssessmentLoad_OunceV6</a>
</li><li> <a href="http://www.owasp.org/index.php/OWASP_O2_Platform/Docs/O2Findings_Schema/O2AssessmentLoad_OunceV6_1" title="OWASP O2 Platform/Docs/O2Findings Schema/O2AssessmentLoad OunceV6 1" target="_blank">OWASP_O2_Platform/Docs/O2Findings_Schema/O2AssessmentLoad_OunceV6_1</a><br>

</li><li> <a href="http://www.owasp.org/index.php/OWASP_O2_Platform/Docs/O2Findings_Schema/O2AssesmentLoad_AppScanDE" title="OWASP O2 Platform/Docs/O2Findings Schema/O2AssesmentLoad AppScanDE" target="_blank">OWASP_O2_Platform/Docs/O2Findings_Schema/O2AssesmentLoad_AppScanDE</a>
</li><li> <a href="http://www.owasp.org/index.php/OWASP_O2_Platform/Docs/O2Findings_Schema/O2AssesmentLoad_CodeCrawler" title="OWASP O2 Platform/Docs/O2Findings Schema/O2AssesmentLoad CodeCrawler" target="_blank">OWASP_O2_Platform/Docs/O2Findings_Schema/O2AssesmentLoad_CodeCrawler</a>
</li><li> <a href="http://www.owasp.org/index.php/OWASP_O2_Platform/Docs/O2Findings_Schema/O2AssesmentLoad_FindBugs" title="OWASP O2 Platform/Docs/O2Findings Schema/O2AssesmentLoad FindBugs" target="_blank">OWASP_O2_Platform/Docs/O2Findings_Schema/O2AssesmentLoad_FindBugs</a>
</li><li> <a href="http://www.owasp.org/index.php/OWASP_O2_Platform/Docs/O2Findings_Schema/O2AssesmentLoad_Fortify" title="OWASP O2 Platform/Docs/O2Findings Schema/O2AssesmentLoad Fortify" target="_blank">OWASP_O2_Platform/Docs/O2Findings_Schema/O2AssesmentLoad_Fortify</a>
</li><li> <a href="http://www.owasp.org/index.php/OWASP_O2_Platform/Docs/O2Findings_Schema/O2AssesmentLoad_WebScarab" title="OWASP O2 Platform/Docs/O2Findings Schema/O2AssesmentLoad WebScarab" target="_blank">OWASP_O2_Platform/Docs/O2Findings_Schema/O2AssesmentLoad_WebScarab</a>
</li></ul>
</li></ul>I have swapped several times ideas with John Steven from Cigital and he is doing an similar effort internally (at Cigital) which is very similar to O2&#39;s approach. The idea (when John is able to publish his stuff) is to create a number of open standards which would merge our ideas (and others from the community) into a bunch of unified schemas:<br>

<ul><li>OFs - Open Findings schema</li><li>ORs - Open Rules schema</li><li>OCRs - Open Code Representation schema</li><li>OAWs - Open Assessment Workflow schema</li></ul>Finally, since the cat is finally out of the bag with O2, <b> I would like to formally invite the other vendors in this space (</b><font face="Arial" size="2"><b>Fortify, Klocwork, Coverity, HPl, Cenzic, etc...) to embrace O2, and write the converters from/to their file formats.</b><br>

<br>Thanks<br></font><br>Dinis Cruz<br><br><div class="gmail_quote">On Mon, Nov 16, 2009 at 2:16 PM, McGovern, James F. (eBusiness) <span dir="ltr">&lt;<a href="mailto:James.McGovern@thehartford.com" target="_blank">James.McGovern@thehartford.com</a>&gt;</span> wrote:<br>

<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">






<div>


<p><font face="Arial" size="2">I spent some time over the weekend looking at the Ounce Findings file (OZASMT) and wonder if the community at large should push Ounce, Fortify, Klocwork, Coverity, etc to come up with an interoperable XML-based way of exchanging findings?</font></p>



<pre>************************************************************
This communication, including attachments, is for the exclusive use of addressee and may contain proprietary, confidential and/or privileged information.  If you are not the intended recipient, any use, copying, disclosure, dissemination or distribution is strictly prohibited.  If you are not the intended recipient, please notify the sender immediately by return e-mail, delete this communication and destroy all copies.
************************************************************
</pre></div>
<br>_______________________________________________<br>
Secure Coding mailing list (SC-L) <a href="mailto:SC-L@securecoding.org" target="_blank">SC-L@securecoding.org</a><br>
List information, subscriptions, etc - <a href="http://krvw.com/mailman/listinfo/sc-l" target="_blank">http://krvw.com/mailman/listinfo/sc-l</a><br>
List charter available at - <a href="http://www.securecoding.org/list/charter.php" target="_blank">http://www.securecoding.org/list/charter.php</a><br>
SC-L is hosted and moderated by KRvW Associates, LLC (<a href="http://www.KRvW.com" target="_blank">http://www.KRvW.com</a>)<br>
as a free, non-commercial service to the software security community.<br>
_______________________________________________<br>
<br></blockquote></div><br>
<br>_______________________________________________<br>
Owasp-o2-platform mailing list<br>
<a href="mailto:Owasp-o2-platform@lists.owasp.org">Owasp-o2-platform@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-o2-platform" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-o2-platform</a><br>
<br></div>