<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div>I agree, I'm almost done with the first version of it. I call it the "OWASP Top Ten Proactive Controls" and have a few folks working on it with me (and leveraged much of the cheat sheet</div>
<div>content for it).</div><div><br></div><div>My goal is to release an early version in -wiki form- next month and will then seek community feedback and edits.</div><div><br></div><div>Cool?</div><div><br><div>--</div><div>
Jim Manico</div><div>@Manicode</div><div>(808) 652-3805</div></div><div><br>On Feb 19, 2013, at 6:39 PM, psiinon <<a href="mailto:psiinon@gmail.com">psiinon@gmail.com</a>> wrote:<br><br></div><blockquote type="cite">
<div>OK, spurious suggestion time...<br><br>How about a new project, the OWASP Top Ten Web Application Security Controls?<br><br>How is this different from the Secure Coding Practices Quick Reference Guide Project and Secure Coding Cheat Sheet?<br>




Probably not very - I'd expect a lot of similarities between the content!<br><br>So why do it?<br>Well, the OWASP Top Ten Web Application Security Risks is by far the most well known and successful OWASP project.<br>



Can we piggy back on this format to make the defences as visible as the existing Top Ten has made the risks?<br>
I realise we have to be careful not to dilute the impact of the existing top ten - a dozen different OWASP Top Ten projects would be counter productive.<br>But I think we can justify this one as its a direct response to the risks.<br>


<br>
If it gets anything like the publicity that the current Top Ten gets then it could have a significant impact.<br>And it can (should) still refer to all of the other relevant projects, like the Developers Guide and the other 2 mentioned above.<br>



<br>Just think - lots of security companies claim their products protect you against the "OWASP Top Ten (Security Risks)" (lets not debate how true that actually is in this thread;).<br>Imagine if frameworks boasted that they include all the "OWASP Top Ten Security Controls", or if customers started asking their suppliers if they use them all...<br>



<br>Thoughts?<br><br>Simon<br clear="all"><br>-- <br><a href="https://www.owasp.org/index.php/ZAP" target="_blank">OWASP ZAP</a> Project leader<br>

</div></blockquote><blockquote type="cite"><div><span>_______________________________________________</span><br><span>OWASP-Leaders mailing list</span><br><span><a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a></span><br>
<span><a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a></span><br></div></blockquote></body></html>