<div>Seeing the data used to create the OWASP Top 10 would be useful for many reasons.</div><div>Devil is in the detail and such data may give rise to other models and approaches to app sec.</div><div><br><br> </div><div class="gmail_quote">
On 3 March 2013 01:45, Jerry Hoff <span dir="ltr"><<a href="mailto:jerry@owasp.org" target="_blank">jerry@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid">
<div style>Hello all,<div><br></div><div>This is great - we now have a baseline on how the top 10 methodology.</div><div><br></div><div>I have a question about the raw data used in the Top 10 - is this going to be made public as well? </div>
<div><br></div><div>Ideally, we would have a published, vetted methodology and a repository of raw data available to all.  Total transparency - in my opinion this is much more empowering to organizations.  In the perfect scenario, organizations could then see our methodology, tweak the assumptions and potentially companies can come up with their own "top 10".   To me, the most important thing is ensuring the methodology and data are available and that they accurately reflect reality.</div>
<div><br></div><div>In my opinion, these are the next steps:</div><div><span style="white-space:pre-wrap">  </span>1. Make the data that fueled the Top 10 - 2013 publicly available</div><div><span style="white-space:pre-wrap">        </span>2. Allow time for review </div>
<div><span style="white-space:pre-wrap">  </span>3. An open "virtual summit" over webex to hash out glaring problems<span style="white-space:pre-wrap">   </span></div><div><span style="white-space:pre-wrap"> </span>4. Draft a revised methodology</div>
<div><span style="white-space:pre-wrap">  </span>5. Virtual Summit again (repeat until there is a consensus)</div><div><span style="white-space:pre-wrap">      </span>6. Opening publish the revised methodology</div><div><span style="white-space:pre-wrap">       </span>7. Use this methodology and recommendations to augment the Top 10 </div>
<div><span style="white-space:pre-wrap">  </span>8. Publish Final Document</div><div><br></div><div>These steps are based on conversations I had with Jeff Williams, Michael Coates and Jim Manico. </div><div><br></div><div>
Does this plan seem reasonable?  Please voice your opinion OWASP leaders.</div><div><br></div><div>Jerry</div><div><br></div><div><div>
<div style="text-transform:none;text-indent:0px;letter-spacing:normal;word-spacing:0px;white-space:normal">--<br>Jerry Hoff</div><div style="text-transform:none;text-indent:0px;letter-spacing:normal;word-spacing:0px;white-space:normal">
@jerryhoff<br><a href="mailto:jerry@owasp.org" target="_blank">jerry@owasp.org</a><br><br><br></div>
</div>
<br><div><div><div class="h5"><div>On Mar 2, 2013, at 4:15 PM, Michael Coates <<a href="mailto:michael.coates@owasp.org" target="_blank">michael.coates@owasp.org</a>> wrote:</div><br></div></div><blockquote type="cite">
<div><div class="h5"><div dir="ltr"><div><div><div><div><div><div><div><div>Leaders,<br><br></div>The OWASP Top 10 Methodology wiki page (as described in the below email) is now live - <a href="https://owasp.org/index.php/Top_10_2013/ProjectMethodology" target="_blank">https://owasp.org/index.php/Top_10_2013/ProjectMethodology</a><br>

<br></div>As you'll see in the first line of the wiki - "The goal of this page is to provide the baseline of knowledge to 
begin a thoughtful conversation of enhancements and changes to continue 
growing the OWASP top 10."<br><br></div>Next Steps:<br></div>- Have ideas on how we can enhance the methodology? Please add it here <a href="https://owasp.org/index.php/Top_10_2013/ProjectMethodology#Suggested_Enhancements" target="_blank">https://owasp.org/index.php/Top_10_2013/ProjectMethodology#Suggested_Enhancements</a><br>

</div>- We'll then begin making changes based on these ideas<br><br></div>Overall Goal:<br></div>Increase participation, enhance methodology, and continue to grow the excellent OWASP top 10 resource <br><br><br></div>

<div>Thanks for everyone's hard work so far on the Top 10 and all the good ideas that have been floating around. I'm confident we can all work together as a community to make this next top 10 awesome.  I look forward to continuing this conversation with everyone.<br>

<br><br></div><div class="gmail_extra"><br clear="all"><div><br>--<br>Michael Coates | OWASP | @_mwc<br><a href="http://michael-coates.blogspot.com/" target="_blank">michael-coates.blogspot.com</a><br></div>
<br><br><div class="gmail_quote">On Tue, Feb 26, 2013 at 12:05 PM, Michael Coates <span dir="ltr"><<a href="mailto:michael.coates@owasp.org" target="_blank">michael.coates@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid">

<div dir="ltr"><div><div>Leaders & Top 10 Enthusiasts,<br><br></div>Dave and I had a great conversation today about the Top 10 and some of the questions that have been posed by many in our owasp community.<br><br>We're going to build a wiki page that describes the overall project methodology of the owasp top 10, what's currently happening, suggestions for improvements, and an FAQ.<br>


<br></div><div>The project has continually grown over the various releases and has successfully attracted more worldwide attention. As we've grown as an organization we've seen many new ways to further open the top 10 and invite greater participation.<br>


<br>This methodology wiki page will help clarify the activities to date and provide a feedback channel to continue growing.<br><br></div><div>Please look for this page later this week. It would have been great for me to include the completed page with this email, but it will take a day or two and I wanted to send this info to the list now.<br>


<br><br><br>Thanks!<br></div><div><br clear="all"><div><div><br>--<br>Michael Coates | OWASP | @_mwc<br><a href="http://michael-coates.blogspot.com/" target="_blank">michael-coates.blogspot.com</a><br></div>
</div></div></div>
</blockquote></div><br></div></div></div></div>
_______________________________________________<br>OWASP-Leaders mailing list<br><a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br><a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
</blockquote></div><br></div></div><br>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br><br clear="all"><br>-- <br>Eoin Keary<br>OWASP Member<br><a href="https://twitter.com/EoinKeary" target="_blank">https://twitter.com/EoinKeary</a><div><br></div>