Good idea, let&#39;s see if they&#39;ll do a self-assessment, if not, we can take it from there and see what we can glean from public information. I offer cycles to the degree folks are interested in having them in support of this effort.<br>

<br clear="all">Mike<br>
<br><br><div class="gmail_quote">On Wed, Dec 30, 2009 at 8:27 PM, Dave Wichers <span dir="ltr">&lt;<a href="mailto:dave.wichers@owasp.org">dave.wichers@owasp.org</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">










<div bgcolor="white" link="blue" vlink="purple" lang="EN-US">

<div>

<p class="MsoNormal"><span style="font-size: 11pt; color: rgb(31, 73, 125);">A facebook ESAPI that allows developers to easily meet level
2ish of ASVS would be ridiculously great Mike. In fact, if someone could go
through ASVS level 2 and determine what parts of it are met by Facebook itself,
and what parts are the app developer’s responsibility, that would be a great
first step. And then their ESAPI should help them meet the parts that the
developer has to do.</span></p>

<p class="MsoNormal"><span style="font-size: 11pt; color: rgb(31, 73, 125);"> </span></p>

<p class="MsoNormal"><span style="font-size: 11pt; color: rgb(31, 73, 125);">Of course, a good first step, would be for someone to review
Facebook itself to see if it itself meets ASVS level 2. Maybe we should ask
them to do a self assessment as a first step. And if they are open to stuff,
maybe they would be open to publishing their results, after fixing any deficiencies
they identify first, of course.</span></p>

<p class="MsoNormal"><span style="font-size: 11pt; color: rgb(31, 73, 125);"> </span></p>

<p class="MsoNormal"><span style="font-size: 11pt; color: rgb(31, 73, 125);">My 2 cents, anyway.</span></p>

<p class="MsoNormal"><span style="font-size: 11pt; color: rgb(31, 73, 125);"> </span></p>

<p class="MsoNormal"><span style="font-size: 11pt; color: rgb(31, 73, 125);">-Dave</span></p>

<p class="MsoNormal"><span style="font-size: 11pt; color: rgb(31, 73, 125);"> </span></p>

<div>

<div style="border-style: solid none none; border-color: rgb(181, 196, 223) -moz-use-text-color -moz-use-text-color; border-width: 1pt medium medium; padding: 3pt 0in 0in;">

<p class="MsoNormal"><b><span style="font-size: 10pt; color: windowtext;">From:</span></b><span style="font-size: 10pt; color: windowtext;"> <a href="mailto:owasp-leaders-bounces@lists.owasp.org" target="_blank">owasp-leaders-bounces@lists.owasp.org</a>
[mailto:<a href="mailto:owasp-leaders-bounces@lists.owasp.org" target="_blank">owasp-leaders-bounces@lists.owasp.org</a>] <b>On Behalf Of </b>Jim Manico<br>
<b>Sent:</b> Wednesday, December 30, 2009 7:27 PM<br>
<b>To:</b> <a href="mailto:mike.boberski@gmail.com" target="_blank">mike.boberski@gmail.com</a>; <a href="mailto:owasp-leaders@lists.owasp.org" target="_blank">owasp-leaders@lists.owasp.org</a><br>
<b>Subject:</b> Re: [Owasp-leaders] Facebook</span></p>

</div>

</div><div><div></div><div class="h5">

<p class="MsoNormal"> </p>

<p class="MsoNormal">&gt; This is a frustration to me, as a case study for lack
of better way to put it, seeing which OWASP materials are being referenced and
how.<br>
<br>
I understand your frustration. But please note, Facebook is very receptive to
these ideas. You just need to ask. Let&#39;s talk offline, and I&#39;ll work with you
to communicate these suggestions to Facebook.<br>
<br>
I&#39;ve already talked to the Facebook Security team about ESAPI, they are
reviewing it now. They do have a good deal of security built into the core
Facebook connect API&#39;s - and these are constantly evolving. I&#39;m sure we could
help more. On many levels.<br>
<br>
So no need to lament, Mike. This is the start of something good!<br>
<br>
- Jim<br>
<br>
<br>
</p>

<p class="MsoNormal" style="margin-bottom: 12pt;">Since you ask...<br>
<br>
This is a frustration to me, as a case study for lack of better way to put it,
seeing which OWASP materials are being referenced and how. Certain messages
aren&#39;t getting out in my mind, reading over that wiki page.<br>
<br>
The Top 10 is a data sheet, it is not a baseline set of security requirements,
nor is it a standard to implement something to comply with. The cheat sheets
are guidance for overcoming very specific atomic items. Pointing someone to the
development guide w/o saying which sections are relevant is like telling
someone to read an encyclopedia A-Z. What security activities are being done
during their SDLC? Etc.....<br>
<br>
First, I think Facebook needs to be straightened out a little bit in this
regard. ASVS exists now, so people need to start using it, where they had
previously been using the Top 10 in an inappropriate way. Second, I propose
exploring whether or not what Facebook really needs/asking for is an ESAPI.<br>
<br>
Mike<br>
<br>
</p>

<div>

<p class="MsoNormal">On Wed, Dec 30, 2009 at 5:00 PM, Jim Manico &lt;<a href="mailto:jim.manico@owasp.org" target="_blank">jim.manico@owasp.org</a>&gt; wrote:</p>

<p class="MsoNormal">Hello Leaders,<br>
<br>
I recently noticed that the OWASP Top Ten was being referenced on<br>
Facebook&#39;s developer platform wiki at<br>
<a href="http://wiki.developers.facebook.com/index.php/Platform_Security" target="_blank">http://wiki.developers.facebook.com/index.php/Platform_Security</a>
- pretty<br>
cool.<br>
<br>
This triggered a conversation with Pete Bratach and Ryan  McGeehan from<br>
the Facebook security team about a deeper relationship between Facebook<br>
and OWASP. They also brought their partners, iSec (folks who know the<br>
Facebook platform very well) into the conversation.<br>
<br>
Facebook would like OWASP to host and develop a series of wiki pages on<br>
the topic on helping developers write secure Facebook applications. One<br>
this is rolling, Facebook would prominently link to those pages from the<br>
Facebook developer portal. The traffic and awareness potential is<br>
significant.<br>
<br>
Facebook also seems to have a progressive security research policy in<br>
place (modeled after PayPals) at<br>
<a href="http://www.facebook.com/security#/security?v=app_6009294086" target="_blank">http://www.facebook.com/security#/security?v=app_6009294086</a><br>
<br>
What do you think leaders?<br>
<br>
- Jim Manico<br>
OWASP ESAPI Project Manager<br>
<a href="http://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API" target="_blank">http://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API</a><br>
<br>
OWASP Podcast Host/Producer<br>
<a href="http://www.owasp.org/index.php/OWASP_Podcast" target="_blank">http://www.owasp.org/index.php/OWASP_Podcast</a><br>
<br>
_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a></p>

</div>

<p class="MsoNormal"><br>
<br>
</p>

<pre> </pre><pre> </pre><pre>_______________________________________________</pre><pre>OWASP-Leaders mailing list</pre><pre><a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a></pre>

<pre><a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a></pre><pre>  </pre>

<p class="MsoNormal"><br>
<br>
<br>
</p>

<pre>-- </pre><pre> </pre><pre>- Jim Manico</pre><pre>OWASP ESAPI Project Manager</pre><pre><a href="http://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API" target="_blank">http://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API</a></pre>

<pre> </pre><pre>OWASP Podcast Host/Producer</pre><pre><a href="http://www.owasp.org/index.php/OWASP_Podcast" target="_blank">http://www.owasp.org/index.php/OWASP_Podcast</a></pre></div></div></div>

</div>


</blockquote></div><br>