Since you ask...<br><br>This is a frustration to me, as a case study for lack of better way to put it, seeing which OWASP materials are being referenced and how. Certain messages aren&#39;t getting out in my mind, reading over that wiki page.<br>

<br>The Top 10 is a data sheet, it is not a baseline set of security requirements, nor is it a standard to implement something to comply with. The cheat sheets are guidance for overcoming very specific atomic items. Pointing someone to the development guide w/o saying which sections are relevant is like telling someone to read an encyclopedia A-Z. What security activities are being done during their SDLC? Etc.....<br>

<br>First, I think Facebook needs to be straightened out a little bit in this regard. ASVS exists now, so people need to start using it, where they had previously been using the Top 10 in an inappropriate way. Second, I propose exploring whether or not what Facebook really needs/asking for is an ESAPI.<br>

<br>Mike<br>
<br><br><div class="gmail_quote">On Wed, Dec 30, 2009 at 5:00 PM, Jim Manico <span dir="ltr">&lt;<a href="mailto:jim.manico@owasp.org">jim.manico@owasp.org</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">

Hello Leaders,<br>
<br>
I recently noticed that the OWASP Top Ten was being referenced on<br>
Facebook&#39;s developer platform wiki at<br>
<a href="http://wiki.developers.facebook.com/index.php/Platform_Security" target="_blank">http://wiki.developers.facebook.com/index.php/Platform_Security</a> - pretty<br>
cool.<br>
<br>
This triggered a conversation with Pete Bratach and Ryan  McGeehan from<br>
the Facebook security team about a deeper relationship between Facebook<br>
and OWASP. They also brought their partners, iSec (folks who know the<br>
Facebook platform very well) into the conversation.<br>
<br>
Facebook would like OWASP to host and develop a series of wiki pages on<br>
the topic on helping developers write secure Facebook applications. One<br>
this is rolling, Facebook would prominently link to those pages from the<br>
Facebook developer portal. The traffic and awareness potential is<br>
significant.<br>
<br>
Facebook also seems to have a progressive security research policy in<br>
place (modeled after PayPals) at<br>
<a href="http://www.facebook.com/security#/security?v=app_6009294086" target="_blank">http://www.facebook.com/security#/security?v=app_6009294086</a><br>
<br>
What do you think leaders?<br>
<br>
- Jim Manico<br>
OWASP ESAPI Project Manager<br>
<a href="http://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API" target="_blank">http://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API</a><br>
<br>
OWASP Podcast Host/Producer<br>
<a href="http://www.owasp.org/index.php/OWASP_Podcast" target="_blank">http://www.owasp.org/index.php/OWASP_Podcast</a><br>
<br>
_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
</blockquote></div><br>