<html><body bgcolor="#FFFFFF"><div>Information architecture is an interesting issue. Quora or SO are cool and very dev friendly but assumes you navigate with Google (cough cough, I meant Bing of course :-) my gut says a set of filters and tagging can elegantly solve this on <a href="http://OWASP.org">OWASP.org</a> but totally breaks when you consider <a href="http://www.brakemanscanner.org">http://www.brakemanscanner.org</a> and <a href="http://www.myesapi.org">http://www.myesapi.org</a> and O2 site etc.</div><div><br></div><div><br></div><div><br></div><div><br>Sent from my iPhone</div><div><br>On Oct 7, 2011, at 8:41 AM, Chris Schmidt &lt;<a href="mailto:chris.schmidt@owasp.org">chris.schmidt@owasp.org</a>&gt; wrote:<br><br></div><div></div><blockquote type="cite"><div>
    I think this illustrates a point pretty accurately - this has the
    potential to blow up into something completely unmaintainable and
    not-user-friendly in a heartbeat. Perhaps the answer is that instead
    of new documents, a new EcoSystem/Community should be built around
    the Top 10 project that enables the community to interact with
    questions like <br>
    <br>
    How do I resolve T10.1 in my PHP application that uses the PHP-Java
    Bridge to invoke business functions in my Spring driven Java
    business layer?<br>
    <br>
    This would be a good place for something like a Stack Overflow type
    Q&amp;A framework to *compliment* the top 10.. Make sense?<br>
    <br>
    And yes, I realize this contradicts my previous post a little, the
    important thing is that the T10 is an industry impactful project and
    I believe there is both room for growth and the community desire for
    *moar factz* as it were. That was the main intent of my previous
    reply, this is just another suggestion on how to get there.<br>
    <br>
    My $0.02<br>
    <br>
    On 10/7/2011 9:35 AM, Mark Curphey wrote:
    <blockquote cite="mid:EAEC30FC-BB46-4DCB-92E5-9EDFE6C0B0E6@curphey.com" type="cite">
      <div>The sandwich ordering. I want OWASP top ten, on .net, with a
        c# filling and a bag of AWS to go :-)<br>
        <br>
        Sent from my iPhone</div>
      <div><br>
        On Oct 7, 2011, at 8:24 AM, John Melton &lt;<a moz-do-not-send="true" href="mailto:jtmelton@gmail.com"><a href="mailto:jtmelton@gmail.com">jtmelton@gmail.com</a></a>&gt;
        wrote:<br>
        <br>
      </div>
      <blockquote type="cite">
        <div>I agree with several of the opinions expressed here. I tend
          to think of this in a wizard style approach (there's been talk
          of this style of organization in other project areas as well,
          I think Curphey had this in his keynote from appsecusa). For
          instance, I personally am a Java guy, so I'd logically like to
          have a flow that says Top 10 list -&gt; CSRF (Issue I have)
          -&gt; choose technology -&gt; Java -&gt; choose framework(s)
          -&gt; Struts 2 -&gt; now get prescriptive guidance. To me
          that's the simplest and most logical flow for developers. I
          have no idea how a flow like that would work within the wiki,
          btw. Just speaking for Java, I think there's little value in
          providing solutions unless you give framework-specific (not
          just language-specific) guidance, since that's where most devs
          live. <br>
          <br>
          Clearly the top 10 has had tremendous impact on the industry -
          this seems like a very logical place to start given the recent
          focus of strong developer outreach. The top 10 doc is probably
          the 1 item OWASP produces that is in the hands of more
          developers than anything else (from my experience), so giving
          them solid solutions seems a good idea.<br>
          <br>
          As an aside, my top 10 blog set was really meant to show the
          power of ESAPI. So while it is Java specific, there are often
          more framework compliant ways to accomplish the solutions
          (like token solutions for CSRF in all the frameworks).<br>
          <br>
          Thanks,<br>
          John<br>
          <br>
          <div class="gmail_quote">On Fri, Oct 7, 2011 at 11:04 AM, Jim
            Manico <span dir="ltr">&lt;<a moz-do-not-send="true" href="mailto:jim.manico@owasp.org"><a href="mailto:jim.manico@owasp.org">jim.manico@owasp.org</a></a>&gt;</span>
            wrote:<br>
            <blockquote class="gmail_quote" style="margin:0 0 0
              .8ex;border-left:1px #ccc solid;padding-left:1ex;">
              Exactly! First of all, Troy Hunt is a total rockstar. He
              is mirroring<br>
              the OWASP Top Ten in a way that is 100% .NET branded for
              .NET<br>
              developers with .NET solutions.<br>
              <br>
              Even if the actually high level items are the same as the
              general Top<br>
              Ten, the language branded versions reach developers and
              speak to<br>
              developers in a pretty deep way.<br>
              <br>
              The devil is in the detail - and unlike the general Top
              Ten, Troy's<br>
              work provides fairly deep prescriptive language-specific
              solutions.<br>
              <br>
              There are several bloggers (Melton?) who have pushed out
              Java centric<br>
              Top Ten literature. The groundwork is out there. I'd love
              to see a<br>
              group managed by Dave's penchant for detail to produce (at
              least)<br>
              official OWASP Java, &nbsp;.NET and PHP Top Ten documents. I
              think this is<br>
              a better approach than just providing language specific
              examples in<br>
              the general doc for the sake of deeply influencing
              developers.<br>
              <br>
              IMO,<br>
              <div class="im">--<br>
                Jim Manico<br>
                (808) 652-3805<br>
                <br>
              </div>
              <div>
                <div class="h5">On Oct 7, 2011, at 9:53 AM, Mark Curphey
                  &lt;<a moz-do-not-send="true" href="mailto:mark@curphey.com"><a href="mailto:mark@curphey.com">mark@curphey.com</a></a>&gt;
                  wrote:<br>
                  <br>
                  &gt; Troy hunt has already done a series on T10 and
                  .net. He's a .net security MVP. &nbsp;I am sure he'll
                  donate. Shall I ask him?<br>
                  &gt;<br>
                  &gt; Sent from my iPhone<br>
                  &gt;<br>
                  &gt; On Oct 7, 2011, at 7:21 AM, Jim Manico &lt;<a moz-do-not-send="true" href="mailto:jim.manico@owasp.org"><a href="mailto:jim.manico@owasp.org">jim.manico@owasp.org</a></a>&gt;
                  wrote:<br>
                  &gt;<br>
                  &gt;&gt; Yes, you are right on. It's a crucial way to
                  influence developers more<br>
                  &gt;&gt; - and influencing developers is the real
                  mission of OWASP from days of<br>
                  &gt;&gt; yore. Shall we get started? I'll lend a hand.<br>
                  &gt;&gt;<br>
                  &gt;&gt; --<br>
                  &gt;&gt; Jim Manico<br>
                  &gt;&gt; (808) 652-3805<br>
                  &gt;&gt;<br>
                  &gt;&gt; On Oct 7, 2011, at 9:18 AM, Erwin Geirnaert<br>
                  &gt;&gt; &lt;<a moz-do-not-send="true" href="mailto:erwin.geirnaert@zionsecurity.com"><a href="mailto:erwin.geirnaert@zionsecurity.com">erwin.geirnaert@zionsecurity.com</a></a>&gt;
                  wrote:<br>
                  &gt;&gt;<br>
                  &gt;&gt;&gt; Hi list,<br>
                  &gt;&gt;&gt;<br>
                  &gt;&gt;&gt; During some discussions this week with
                  Java developers while giving a security training I got
                  the following remark: "why are there so many <a moz-do-not-send="true" href="http://ASP.NET/PHP"><a href="http://ASP.NET/PHP">ASP.NET/PHP</a></a>
                  issues in the OWASP Top 10, is Java more secure"?<br>
                  &gt;&gt;&gt;<br>
                  &gt;&gt;&gt; So what I propose is to create a specific
                  OWASP Top 10 for different technologies: Microsoft,
                  Java, PHP and we can still have one global Top 10.<br>
                  &gt;&gt;&gt; Ofcourse based on the CVE database but it
                  will be more clear for the developers and I think that
                  the OWASP Top 10 for Java will be very different than
                  OWASP Top 10 for PHP.<br>
                  &gt;&gt;&gt;<br>
                  &gt;&gt;&gt; Best regards,<br>
                  &gt;&gt;&gt;<br>
                  &gt;&gt;&gt; Erwin<br>
                  &gt;&gt;&gt;
                  _______________________________________________<br>
                  &gt;&gt;&gt; OWASP-Leaders mailing list<br>
                  &gt;&gt;&gt; <a moz-do-not-send="true" href="mailto:OWASP-Leaders@lists.owasp.org"><a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a></a><br>
                  &gt;&gt;&gt; <a moz-do-not-send="true" href="https://lists.owasp.org/mailman/listinfo/owasp-leaders"><a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a></a><br>
                  &gt;&gt;
                  _______________________________________________<br>
                  &gt;&gt; OWASP-Leaders mailing list<br>
                  &gt;&gt; <a moz-do-not-send="true" href="mailto:OWASP-Leaders@lists.owasp.org"><a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a></a><br>
                  &gt;&gt; <a moz-do-not-send="true" href="https://lists.owasp.org/mailman/listinfo/owasp-leaders"><a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a></a><br>
                  _______________________________________________<br>
                  OWASP-Leaders mailing list<br>
                  <a moz-do-not-send="true" href="mailto:OWASP-Leaders@lists.owasp.org"><a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a></a><br>
                  <a moz-do-not-send="true" href="https://lists.owasp.org/mailman/listinfo/owasp-leaders"><a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a></a><br>
                </div>
              </div>
            </blockquote>
          </div>
          <br>
        </div>
      </blockquote>
      <br>
      <fieldset class="mimeAttachmentHeader"></fieldset>
      <br>
      <pre wrap="">_______________________________________________
OWASP-Leaders mailing list
<a class="moz-txt-link-abbreviated" href="mailto:OWASP-Leaders@lists.owasp.org"><a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a></a>
<a class="moz-txt-link-freetext" href="https://lists.owasp.org/mailman/listinfo/owasp-leaders"><a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a></a>
</pre>
    </blockquote>
  

</div></blockquote><blockquote type="cite"><div><span>_______________________________________________</span><br><span>OWASP-Leaders mailing list</span><br><span><a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a></span><br><span><a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a></span><br></div></blockquote></body></html>