I couldn&#39;t agree more Andrew, we are starting to enumerate badness instead of concentrate on prescriptions for solving the very, very difficult problems like input validation. Input validation only seems simple, but in reality it is a Gödel problem. What we need to do is to describe a &#39;good enough&#39; solution; such as AntiXSS or AppSensor that at least reduces the amount of input (variety) that has to be managed.<div>

<br></div><div>I would also add that it is my humble 2cents that IT operations people have been struggling with this problem for more than a decade; while senior management (as opposed to IT management) has not. I have not walked into many clients where they had an ISMS; nor an ISOC - this tells me that one of the top 10 problems without a doubt is that senior management doesn&#39;t understand its role, or has not been successfully educated and thus everything turns into a compliance exercise.</div>

<div><br></div><div><span class="Apple-style-span" style="font-family: arial, sans-serif; font-size: 13px; line-height: 18px; background-color: rgb(255, 255, 255); ">And that is <b>psychology problem</b>, not security. <br>

<br>It takes the ability to &#39;spin the right story&#39; so that security is seen as a business enabler that makes it safe, as opposed to a blocker that impedes, or something &#39;must&#39; be done for compliance sake. When ever I hear about this &#39;negative box ticking,&#39; I have found this to be the case. Nobody wants to do a bad job or do work for work sake. <br>

<br>We security professionals all agree that security is not security for security sake; so it must be the case that the value is not understood and so people are not motivated to participate. Thus we have failed in our fist mission, namely to successfully communicate our value to the business.</span></div>

<div><br></div><div>So in summary someplace on this list is:</div><div><br></div><div>- security education (everybody plays a part in the human factor)</div><div>- security management (continuous improvement / agile security?)</div>

<div><br></div><div><span style="border-collapse:collapse;font-family:arial, sans-serif;font-size:13px">-- <br><a href="http://about.me/dennis.groves" target="_blank">Dennis Groves</a>, MSc</span><div><span style="border-collapse:collapse;font-family:arial, sans-serif;font-size:13px"><a href="mailto:dennis.groves@owasp.org" target="_blank">dennis.groves@owasp.org</a></span></div>

<div><div style="text-align:left"><font color="#999999" face="arial, sans-serif"><span style="border-collapse:collapse"><span style="font-family:arial;border-collapse:separate;color:rgb(0, 0, 0)"><br></span></span></font></div>

<div style="text-align:left"><font color="#999999" face="arial, sans-serif"><span style="border-collapse:collapse"><a href="http://www.owasp.org/" target="_blank"><img src="http://www.owasp.org/skins/monobook/ologo.png" width="200" height="36"></a><br>

</span></font></div></div><br>
<br><br><div class="gmail_quote">On Tue, Oct 11, 2011 at 12:13 PM, Andrew van der Stock <span dir="ltr">&lt;<a href="mailto:vanderaj@owasp.org">vanderaj@owasp.org</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">

<div style="word-wrap:break-word">One of the things I&#39;d really like for the Top 10 2012 is to stop focusing on the things that went wrong in the previous 12 months, and start to concentrate on the Top 10 things to get right for the next five years. The existing Top 10 regularly gets incorporated without permission into various other standards, and it&#39;s 100% the wrong way around for that purpose. The Top 10 was never designed to be a standard. <div>

<br></div><div>To address this, here&#39;s my short list (in order):</div><div><ol><li>Security Architecture (including incorporating agile ideas)</li><li>Use a (more) secure development frameworks and leverage enterprise frameworks (UAG, etc)</li>

<li>Input validation</li><li>Output Encoding</li><li>Identity: Authentication and Session Management</li><li>Access Control (service / controller, data, URL, function / CSRF, presentation, etc)</li><li>Data Protection (Data at rest, including in cloud)</li>

<li>Audit, Logging and Error Handling</li><li>Secure Configuration </li><li>Secure Communications (Data in transit)</li></ol><div>All of the items must be testable. All items must be positively framed and eliminate entire CWE classes in their own right. </div>

<div><br></div><div>Thoughts?</div><div><br></div></div><div>thanks,</div><div>Andrew</div></div><br>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div>