<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML xmlns="http://www.w3.org/TR/REC-html40" xmlns:v = 
"urn:schemas-microsoft-com:vml" xmlns:o = 
"urn:schemas-microsoft-com:office:office" xmlns:w = 
"urn:schemas-microsoft-com:office:word" xmlns:m = 
"http://schemas.microsoft.com/office/2004/12/omml"><HEAD>
<META http-equiv=Content-Type content="text/html; charset=us-ascii">
<META content="MSHTML 6.00.6000.16945" name=GENERATOR><!--[if !mso]>
<STYLE>v\:* {
        BEHAVIOR: url(#default#VML)
}
o\:* {
        BEHAVIOR: url(#default#VML)
}
w\:* {
        BEHAVIOR: url(#default#VML)
}
.shape {
        BEHAVIOR: url(#default#VML)
}
</STYLE>
<![endif]-->
<STYLE>@font-face {
        font-family: Cambria Math;
}
@font-face {
        font-family: Calibri;
}
@font-face {
        font-family: Tahoma;
}
@page Section1 {size: 8.5in 11.0in; margin: 1.0in 1.0in 1.0in 1.0in; }
P.MsoNormal {
        FONT-SIZE: 11pt; MARGIN: 0in 0in 0pt; FONT-FAMILY: "Calibri","sans-serif"
}
LI.MsoNormal {
        FONT-SIZE: 11pt; MARGIN: 0in 0in 0pt; FONT-FAMILY: "Calibri","sans-serif"
}
DIV.MsoNormal {
        FONT-SIZE: 11pt; MARGIN: 0in 0in 0pt; FONT-FAMILY: "Calibri","sans-serif"
}
A:link {
        COLOR: blue; TEXT-DECORATION: underline; mso-style-priority: 99
}
SPAN.MsoHyperlink {
        COLOR: blue; TEXT-DECORATION: underline; mso-style-priority: 99
}
A:visited {
        COLOR: purple; TEXT-DECORATION: underline; mso-style-priority: 99
}
SPAN.MsoHyperlinkFollowed {
        COLOR: purple; TEXT-DECORATION: underline; mso-style-priority: 99
}
P.MsoAcetate {
        FONT-SIZE: 8pt; MARGIN: 0in 0in 0pt; FONT-FAMILY: "Tahoma","sans-serif"; mso-style-priority: 99; mso-style-link: "Balloon Text Char"
}
LI.MsoAcetate {
        FONT-SIZE: 8pt; MARGIN: 0in 0in 0pt; FONT-FAMILY: "Tahoma","sans-serif"; mso-style-priority: 99; mso-style-link: "Balloon Text Char"
}
DIV.MsoAcetate {
        FONT-SIZE: 8pt; MARGIN: 0in 0in 0pt; FONT-FAMILY: "Tahoma","sans-serif"; mso-style-priority: 99; mso-style-link: "Balloon Text Char"
}
P.MsoListParagraph {
        FONT-SIZE: 11pt; MARGIN: 0in 0in 0pt 0.5in; FONT-FAMILY: "Calibri","sans-serif"; mso-style-priority: 34
}
LI.MsoListParagraph {
        FONT-SIZE: 11pt; MARGIN: 0in 0in 0pt 0.5in; FONT-FAMILY: "Calibri","sans-serif"; mso-style-priority: 34
}
DIV.MsoListParagraph {
        FONT-SIZE: 11pt; MARGIN: 0in 0in 0pt 0.5in; FONT-FAMILY: "Calibri","sans-serif"; mso-style-priority: 34
}
SPAN.BalloonTextChar {
        FONT-FAMILY: "Tahoma","sans-serif"; mso-style-priority: 99; mso-style-link: "Balloon Text"; mso-style-name: "Balloon Text Char"
}
SPAN.EmailStyle20 {
        COLOR: windowtext; FONT-FAMILY: "Calibri","sans-serif"; mso-style-type: personal
}
SPAN.EmailStyle21 {
        COLOR: #1f497d; FONT-FAMILY: "Calibri","sans-serif"; mso-style-type: personal
}
SPAN.EmailStyle22 {
        COLOR: #1f497d; FONT-FAMILY: "Calibri","sans-serif"; mso-style-type: personal-reply
}
.MsoChpDefault {
        FONT-SIZE: 10pt; mso-style-type: export-only
}
DIV.Section1 {
        page: Section1
}
OL {
        MARGIN-BOTTOM: 0in
}
UL {
        MARGIN-BOTTOM: 0in
}
</STYLE>
<!--[if gte mso 9]><xml>
 <o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
 <o:shapelayout v:ext="edit">
  <o:idmap v:ext="edit" data="1" />
 </o:shapelayout></xml><![endif]--></HEAD>
<BODY lang=EN-US vLink=purple link=blue>
<DIV dir=ltr align=left><SPAN class=817313716-21122009><FONT face=Arial 
color=#0000ff size=2>Jeff,&nbsp;this is a great idea.&nbsp; It would be nice to 
see the PCI-SSC adopt one of these standards as a requirement for applications 
in scope for PA-DSS and PCI-DSS.&nbsp; All too often I run into cases where QSAs 
and other firms are not doing a thorough job of testing web applications and in 
my opinion this would be a very good solution.&nbsp; Requiring&nbsp;a 
documented&nbsp;OWASP testing standard would be a big improvement and add more 
credibility to the PCI program.&nbsp; It would also help generate much 
needed&nbsp;momentum in the industry.&nbsp; I'm on board.&nbsp; 
</FONT></SPAN></DIV>
<P class=MsoNormal align=left><SPAN 
style="FONT-SIZE: 10pt; FONT-FAMILY: Arial"></SPAN>&nbsp;</P>
<P class=MsoNormal align=left><SPAN 
style="FONT-SIZE: 10pt; FONT-FAMILY: Arial"></SPAN>&nbsp;</P>
<P class=MsoNormal align=left><SPAN 
style="FONT-SIZE: 10pt; FONT-FAMILY: Arial">Brian Bertacini, CISA, 
PCI-QSA<BR></SPAN><SPAN style="FONT-SIZE: 10pt; FONT-FAMILY: Arial">AppSec 
Consulting, Inc.<BR></SPAN><SPAN style="FONT-SIZE: 10pt; FONT-FAMILY: Arial">ph: 
&nbsp; 408-723-1960<BR></SPAN><SPAN 
style="FONT-SIZE: 10pt; FONT-FAMILY: Arial">cell: 408-771-8638</SPAN><SPAN 
style="FONT-SIZE: 10pt; FONT-FAMILY: Arial"><BR></SPAN><SPAN 
style="FONT-SIZE: 10pt; FONT-FAMILY: Arial">email: <A 
title=mailto:brian@appsecconsulting.com 
href="mailto:brian@appsecconsulting.com">brian@appsecconsulting.com</A></SPAN></P>
<DIV>&nbsp;</DIV><BR>
<DIV class=OutlookMessageHeader lang=en-us dir=ltr align=left>
<HR tabIndex=-1>
<FONT face=Tahoma size=2><B>From:</B> owasp-leaders-bounces@lists.owasp.org 
[mailto:owasp-leaders-bounces@lists.owasp.org] <B>On Behalf Of </B>Jeff 
Williams<BR><B>Sent:</B> Monday, December 21, 2009 7:55 AM<BR><B>To:</B> 
owasp-leaders@lists.owasp.org<BR><B>Subject:</B> [Owasp-leaders] OWASP testing 
and disclosure levels<BR></FONT><BR></DIV>
<DIV></DIV>
<DIV class=Section1>
<P class=MsoNormal><SPAN style="COLOR: #1f497d">I saw some twittering about this 
sort of thing over the weekend&#8230;<o:p></o:p></SPAN></P>
<P class=MsoNormal><SPAN style="COLOR: #1f497d"><o:p>&nbsp;</o:p></SPAN></P>
<P class=MsoNormal><SPAN style="COLOR: #1f497d">The basic idea is that we could 
create some OWASP standards around the way that companies allow their websites 
to be tested/scanned/reviewed and how they want to handle disclosure of issues 
that are discovered.&nbsp; Companies could choose the standard they want to 
follow and it would encourage people to make that choice explicit and public 
(visible).<o:p></o:p></SPAN></P>
<P class=MsoNormal><SPAN style="COLOR: #1f497d"><o:p>&nbsp;</o:p></SPAN></P>
<P class=MsoNormal><SPAN style="COLOR: #1f497d">We could do this pretty easily 
in the OWASP Legal Project &#8211; the way that Creative Commons defined some IP 
licenses and released them.&nbsp; I&#8217;m just not sure what the current practices 
are.&nbsp; Has anyone catalogued a list of companies with either testing or 
disclosure policies?&nbsp; See <A 
href="http://www.microsoft.com/security/msrc/report/disclosure.aspx">Microsoft 
policies</A>.<o:p></o:p></SPAN></P>
<P class=MsoNormal><SPAN style="COLOR: #1f497d"><o:p>&nbsp;</o:p></SPAN></P>
<P class=MsoNormal><SPAN style="COLOR: #1f497d">Just as an off the top of the 
head brainstorm, what do you think of these?? Of course we&#8217;d have to specify 
these carefully and fully.<o:p></o:p></SPAN></P>
<P class=MsoNormal><SPAN style="COLOR: #1f497d"><o:p>&nbsp;</o:p></SPAN></P>
<P class=MsoListParagraph 
style="TEXT-INDENT: -0.25in; mso-list: l0 level1 lfo2"><![if !supportLists]><SPAN 
style="COLOR: #1f497d; FONT-FAMILY: Symbol"><SPAN 
style="mso-list: Ignore">&middot;<SPAN 
style="FONT: 7pt 'Times New Roman'">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
</SPAN></SPAN></SPAN><![endif]><SPAN style="COLOR: #1f497d">Full Disclosure &#8211; 
disclose anything you find<o:p></o:p></SPAN></P>
<P class=MsoListParagraph 
style="TEXT-INDENT: -0.25in; mso-list: l0 level1 lfo2"><![if !supportLists]><SPAN 
style="COLOR: #1f497d; FONT-FAMILY: Symbol"><SPAN 
style="mso-list: Ignore">&middot;<SPAN 
style="FONT: 7pt 'Times New Roman'">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
</SPAN></SPAN></SPAN><![endif]><SPAN style="COLOR: #1f497d">Responsible 
Disclosure &#8211; work with us please<o:p></o:p></SPAN></P>
<P class=MsoListParagraph 
style="TEXT-INDENT: -0.25in; mso-list: l0 level1 lfo2"><![if !supportLists]><SPAN 
style="COLOR: #1f497d; FONT-FAMILY: Symbol"><SPAN 
style="mso-list: Ignore">&middot;<SPAN 
style="FONT: 7pt 'Times New Roman'">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
</SPAN></SPAN></SPAN><![endif]><SPAN style="COLOR: #1f497d">Private Disclosure &#8211; 
send it to us and pray<o:p></o:p></SPAN></P>
<P class=MsoListParagraph 
style="TEXT-INDENT: -0.25in; mso-list: l0 level1 lfo2"><![if !supportLists]><SPAN 
style="COLOR: #1f497d; FONT-FAMILY: Symbol"><SPAN 
style="mso-list: Ignore">&middot;<SPAN 
style="FONT: 7pt 'Times New Roman'">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
</SPAN></SPAN></SPAN><![endif]><SPAN style="COLOR: #1f497d">No Disclosure &#8211; we 
will hunt you down and kill you<o:p></o:p></SPAN></P>
<P class=MsoNormal><SPAN style="COLOR: #1f497d"><o:p>&nbsp;</o:p></SPAN></P>
<P class=MsoListParagraph 
style="TEXT-INDENT: -0.25in; mso-list: l0 level1 lfo2"><![if !supportLists]><SPAN 
style="COLOR: #1f497d; FONT-FAMILY: Symbol"><SPAN 
style="mso-list: Ignore">&middot;<SPAN 
style="FONT: 7pt 'Times New Roman'">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
</SPAN></SPAN></SPAN><![endif]><SPAN style="COLOR: #1f497d">Fully Open &#8211; code 
review + test all you want<o:p></o:p></SPAN></P>
<P class=MsoListParagraph 
style="TEXT-INDENT: -0.25in; mso-list: l0 level1 lfo2"><![if !supportLists]><SPAN 
style="COLOR: #1f497d; FONT-FAMILY: Symbol"><SPAN 
style="mso-list: Ignore">&middot;<SPAN 
style="FONT: 7pt 'Times New Roman'">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
</SPAN></SPAN></SPAN><![endif]><SPAN style="COLOR: #1f497d">Open Code Review &#8211; 
we&#8217;ll let you review the source and test all you want**<o:p></o:p></SPAN></P>
<P class=MsoListParagraph 
style="TEXT-INDENT: -0.25in; mso-list: l0 level1 lfo2"><![if !supportLists]><SPAN 
style="COLOR: #1f497d; FONT-FAMILY: Symbol"><SPAN 
style="mso-list: Ignore">&middot;<SPAN 
style="FONT: 7pt 'Times New Roman'">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
</SPAN></SPAN></SPAN><![endif]><SPAN style="COLOR: #1f497d">Open Test &#8211; 
test&nbsp; with your account all you want<o:p></o:p></SPAN></P>
<P class=MsoListParagraph 
style="TEXT-INDENT: -0.25in; mso-list: l0 level1 lfo2"><![if !supportLists]><SPAN 
style="COLOR: #1f497d; FONT-FAMILY: Symbol"><SPAN 
style="mso-list: Ignore">&middot;<SPAN 
style="FONT: 7pt 'Times New Roman'">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
</SPAN></SPAN></SPAN><![endif]><SPAN style="COLOR: #1f497d">Staged Test&#8211;register 
and we&#8217;ll let you test on a non-production system<o:p></o:p></SPAN></P>
<P class=MsoListParagraph 
style="TEXT-INDENT: -0.25in; mso-list: l0 level1 lfo2"><![if !supportLists]><SPAN 
style="COLOR: #1f497d; FONT-FAMILY: Symbol"><SPAN 
style="mso-list: Ignore">&middot;<SPAN 
style="FONT: 7pt 'Times New Roman'">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
</SPAN></SPAN></SPAN><![endif]><SPAN style="COLOR: #1f497d">No Testing &#8211; you are 
an evil hacker<o:p></o:p></SPAN></P>
<P class=MsoNormal><SPAN style="COLOR: #1f497d"><o:p>&nbsp;</o:p></SPAN></P>
<P class=MsoNormal><SPAN style="COLOR: #1f497d">** Note: I have already drafted 
an &#8220;OWASP Open Code Review&#8221; license that grants people the rights they need to 
do a source code review without giving up ownership or other legal 
rights.<o:p></o:p></SPAN></P>
<P class=MsoNormal><SPAN style="COLOR: #1f497d"><o:p>&nbsp;</o:p></SPAN></P>
<P class=MsoNormal><SPAN style="COLOR: #1f497d">We could combine these into a 
few interesting combinations&#8230;<o:p></o:p></SPAN></P>
<P class=MsoNormal><SPAN style="COLOR: #1f497d"><o:p>&nbsp;</o:p></SPAN></P>
<P class=MsoListParagraph 
style="TEXT-INDENT: -0.25in; mso-list: l0 level1 lfo2"><![if !supportLists]><SPAN 
style="COLOR: #1f497d; FONT-FAMILY: Symbol"><SPAN 
style="mso-list: Ignore">&middot;<SPAN 
style="FONT: 7pt 'Times New Roman'">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
</SPAN></SPAN></SPAN><![endif]><SPAN style="COLOR: #1f497d">OWASP Open Security 
Program &#8211; Fully open review + full disclosure<o:p></o:p></SPAN></P>
<P class=MsoListParagraph 
style="TEXT-INDENT: -0.25in; mso-list: l0 level1 lfo2"><![if !supportLists]><SPAN 
style="COLOR: #1f497d; FONT-FAMILY: Symbol"><SPAN 
style="mso-list: Ignore">&middot;<SPAN 
style="FONT: 7pt 'Times New Roman'">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
</SPAN></SPAN></SPAN><![endif]><SPAN style="COLOR: #1f497d">OWASP Shared 
Security Program &#8211; Open testing + responsible disclosure<o:p></o:p></SPAN></P>
<P class=MsoListParagraph 
style="TEXT-INDENT: -0.25in; mso-list: l0 level1 lfo2"><![if !supportLists]><SPAN 
style="COLOR: #1f497d; FONT-FAMILY: Symbol"><SPAN 
style="mso-list: Ignore">&middot;<SPAN 
style="FONT: 7pt 'Times New Roman'">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
</SPAN></SPAN></SPAN><![endif]><SPAN style="COLOR: #1f497d">OWASP Private 
Security Program &#8211; Staged Testing + private disclosure<o:p></o:p></SPAN></P>
<P class=MsoListParagraph 
style="TEXT-INDENT: -0.25in; mso-list: l0 level1 lfo2"><![if !supportLists]><SPAN 
style="COLOR: #1f497d; FONT-FAMILY: Symbol"><SPAN 
style="mso-list: Ignore">&middot;<SPAN 
style="FONT: 7pt 'Times New Roman'">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
</SPAN></SPAN></SPAN><![endif]><SPAN style="COLOR: #1f497d">OWASP &#8220;Trust Us&#8221; 
<U>Insecurity</U> Program &#8211; No testing + no disclosure<o:p></o:p></SPAN></P>
<P class=MsoNormal><SPAN style="COLOR: #1f497d"><o:p>&nbsp;</o:p></SPAN></P>
<P class=MsoNormal><SPAN style="COLOR: #1f497d"><IMG id=Picture_x0020_2 
height=134 src="cid:817313716@21122009-00EE" width=570 
border=0><o:p></o:p></SPAN></P>
<P class=MsoNormal><SPAN style="COLOR: #1f497d"><o:p>&nbsp;</o:p></SPAN></P>
<P class=MsoNormal><SPAN style="COLOR: #1f497d"><o:p>&nbsp;</o:p></SPAN></P>
<P class=MsoNormal><SPAN style="COLOR: #1f497d">Note that this is NOT a 
certification program.&nbsp; This is a way for companies to *<B>declare</B>* 
their approach to security.&nbsp; Your thoughts welcome&#8230;<o:p></o:p></SPAN></P>
<P class=MsoNormal><SPAN style="COLOR: #1f497d"><o:p>&nbsp;</o:p></SPAN></P>
<P class=MsoNormal><SPAN style="COLOR: #1f497d">--Jeff<o:p></o:p></SPAN></P>
<P class=MsoNormal><SPAN style="COLOR: #1f497d"><o:p>&nbsp;</o:p></SPAN></P>
<P class=MsoNormal><SPAN 
style="COLOR: #1f497d"><o:p>&nbsp;</o:p></SPAN></P></DIV></BODY></HTML>