<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <meta content="text/html; charset=ISO-8859-1"
 http-equiv="Content-Type">
</head>
<body bgcolor="#ffffff" text="#000000">
&gt; This is a frustration to me, as a case study for lack of better
way to
put it, seeing which OWASP materials are being referenced and how.<br>
<br>
I understand your frustration. But please note, Facebook is very
receptive to these ideas. You just need to ask. Let's talk offline, and
I'll work with you to communicate these suggestions to Facebook.<br>
<br>
I've already talked to the Facebook Security team about ESAPI, they are
reviewing it now. They do have a good deal of security built into the
core Facebook connect API's - and these are constantly evolving. I'm
sure we could help more. On many levels.<br>
<br>
So no need to lament, Mike. This is the start of something good!<br>
<br>
- Jim<br>
<br>
<blockquote
 cite="mid:22290cd80912301545l3035eec2wb5ab95078dc4193d@mail.gmail.com"
 type="cite">Since you ask...<br>
  <br>
This is a frustration to me, as a case study for lack of better way to
put it, seeing which OWASP materials are being referenced and how.
Certain messages aren't getting out in my mind, reading over that wiki
page.<br>
  <br>
The Top 10 is a data sheet, it is not a baseline set of security
requirements, nor is it a standard to implement something to comply
with. The cheat sheets are guidance for overcoming very specific atomic
items. Pointing someone to the development guide w/o saying which
sections are relevant is like telling someone to read an encyclopedia
A-Z. What security activities are being done during their SDLC? Etc.....<br>
  <br>
First, I think Facebook needs to be straightened out a little bit in
this regard. ASVS exists now, so people need to start using it, where
they had previously been using the Top 10 in an inappropriate way.
Second, I propose exploring whether or not what Facebook really
needs/asking for is an ESAPI.<br>
  <br>
Mike<br>
  <br>
  <br>
  <div class="gmail_quote">On Wed, Dec 30, 2009 at 5:00 PM, Jim Manico <span
 dir="ltr">&lt;<a moz-do-not-send="true"
 href="mailto:jim.manico@owasp.org">jim.manico@owasp.org</a>&gt;</span>
wrote:<br>
  <blockquote class="gmail_quote"
 style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">Hello
Leaders,<br>
    <br>
I recently noticed that the OWASP Top Ten was being referenced on<br>
Facebook's developer platform wiki at<br>
    <a moz-do-not-send="true"
 href="http://wiki.developers.facebook.com/index.php/Platform_Security"
 target="_blank">http://wiki.developers.facebook.com/index.php/Platform_Security</a>
- pretty<br>
cool.<br>
    <br>
This triggered a conversation with Pete Bratach and Ryan &nbsp;McGeehan from<br>
the Facebook security team about a deeper relationship between Facebook<br>
and OWASP. They also brought their partners, iSec (folks who know the<br>
Facebook platform very well) into the conversation.<br>
    <br>
Facebook would like OWASP to host and develop a series of wiki pages on<br>
the topic on helping developers write secure Facebook applications. One<br>
this is rolling, Facebook would prominently link to those pages from the<br>
Facebook developer portal. The traffic and awareness potential is<br>
significant.<br>
    <br>
Facebook also seems to have a progressive security research policy in<br>
place (modeled after PayPals) at<br>
    <a moz-do-not-send="true"
 href="http://www.facebook.com/security#/security?v=app_6009294086"
 target="_blank">http://www.facebook.com/security#/security?v=app_6009294086</a><br>
    <br>
What do you think leaders?<br>
    <br>
- Jim Manico<br>
OWASP ESAPI Project Manager<br>
    <a moz-do-not-send="true"
 href="http://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API"
 target="_blank">http://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API</a><br>
    <br>
OWASP Podcast Host/Producer<br>
    <a moz-do-not-send="true"
 href="http://www.owasp.org/index.php/OWASP_Podcast" target="_blank">http://www.owasp.org/index.php/OWASP_Podcast</a><br>
    <br>
_______________________________________________<br>
OWASP-Leaders mailing list<br>
    <a moz-do-not-send="true"
 href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
    <a moz-do-not-send="true"
 href="https://lists.owasp.org/mailman/listinfo/owasp-leaders"
 target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
  </blockquote>
  </div>
  <br>
  <pre wrap="">
<fieldset class="mimeAttachmentHeader"></fieldset>
_______________________________________________
OWASP-Leaders mailing list
<a class="moz-txt-link-abbreviated" href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a>
<a class="moz-txt-link-freetext" href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a>
  </pre>
</blockquote>
<br>
<br>
<pre class="moz-signature" cols="72">-- 

- Jim Manico
OWASP ESAPI Project Manager
<a class="moz-txt-link-freetext" href="http://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API">http://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API</a>

OWASP Podcast Host/Producer
<a class="moz-txt-link-freetext" href="http://www.owasp.org/index.php/OWASP_Podcast">http://www.owasp.org/index.php/OWASP_Podcast</a></pre>
</body>
</html>