OK, spurious suggestion time...<br><br>How about a new project, the OWASP Top Ten Web Application Security Controls?<br><br>How is this different from the Secure Coding Practices Quick Reference Guide Project and Secure Coding Cheat Sheet?<br>



Probably not very - I'd expect a lot of similarities between the content!<br><br>So why do it?<br>Well, the OWASP Top Ten Web Application Security Risks is by far the most well known and successful OWASP project.<br>


Can we piggy back on this format to make the defences as visible as the existing Top Ten has made the risks?<br>
I realise we have to be careful not to dilute the impact of the existing top ten - a dozen different OWASP Top Ten projects would be counter productive.<br>But I think we can justify this one as its a direct response to the risks.<br>

<br>
If it gets anything like the publicity that the current Top Ten gets then it could have a significant impact.<br>And it can (should) still refer to all of the other relevant projects, like the Developers Guide and the other 2 mentioned above.<br>


<br>Just think - lots of security companies claim their products protect you against the "OWASP Top Ten (Security Risks)" (lets not debate how true that actually is in this thread;).<br>Imagine if frameworks boasted that they include all the "OWASP Top Ten Security Controls", or if customers started asking their suppliers if they use them all...<br>


<br>Thoughts?<br><br>Simon<br clear="all"><br>-- <br><a href="https://www.owasp.org/index.php/ZAP" target="_blank">OWASP ZAP</a> Project leader<br>