<div dir="ltr">Hey Seba,<div><br></div><div>Certainly very interested!</div><div><br></div><div>Keen to see this become either a project or sub-project of OpenSAMM.</div><div><br></div><div>And very keen to see further system and OWASP integration (i.e, provide links, tips to OWASP materials, or provide easier ways to get deeper access to SAMM material etc).</div>

<div><br></div><div>Regards,</div><div><br></div><div>Christian</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Wed, Oct 23, 2013 at 3:13 PM, Seba <span dir="ltr"><<a href="mailto:seba@owasp.org" target="_blank">seba@owasp.org</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hi Christian,<div><br></div><div>That is just *awesome*. I will definitely add this to our upcoming SAMM tools/resources wiki section.</div>

<div><br></div><div>We would love to integrate this tool in the OpenSAMM project and host it on the OWASP infrastructure.</div>
<div>Can you help us with that?</div><div><br></div><div>thank you!</div><div><br></div><div>Kind regards</div><div><br></div><div>Seba</div><div><br></div><div><br></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">

<div><div class="h5">
On Wed, Oct 23, 2013 at 8:09 AM, Christian Frichot <span dir="ltr"><<a href="mailto:christian.frichot@owasp.org" target="_blank">christian.frichot@owasp.org</a>></span> wrote:<br></div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div><div class="h5">
<div dir="ltr">Hi All,<div><br></div><div>Just wanted to share with you a quick tool that I've put together to provide a quick way for people to self-assess against OpenSAMM.</div><div><br></div><div>Keen to know your thoughts, and how best I can incorporate it back into the OpenSAMM project.</div>




<div><br></div><div>Originally posted at <a href="http://labs.asteriskinfosec.com.au/samm-self-assessment-tool/" target="_blank">http://labs.asteriskinfosec.com.au/samm-self-assessment-tool/</a></div><div><br></div><div>


==== Say 'Hi' to the SAMM Self Assessment Tool ====</div>

<div><br></div><div><div>Asterisk are happy to be releasing their first public beta of the SAMM Self Assessment Tool, or SSA. One of our favourite OWASP projects is the OpenSAMM project, and for those who haven't seen OpenSAMM before, it is a framework to help organisations to evaluate their current software security practices, and build measurable targets and plans for improving these practices.</div>




<div><br></div><div>Part of OpenSAMM includes conducting assessments (you can't manage what you can't measure right?). The OpenSAMM methodology categorises these assessments as either Lightweight or Detailed. SSA aims to provide a very simple way to perform this Lightweight assessment, and compare your current status with some pre-canned target states. And literally, that's it.</div>




<div><br></div><div>We've used this tool on a number of engagements to quickly gauge where an organisation is, and it's certainly helped with figuring out the 'current state' of an organisations software security maturity.</div>




<div><br></div><div>There's currently two different ways you can use SSA:</div><div> 1. You can visit <a href="https://ssa.asteriskinfosec.com.au/" target="_blank">https://ssa.asteriskinfosec.com.au/</a> and complete the checklist directly. You don't even have to save your assessment anywhere if you don't want. On the other hand, if you want to store your results, there's a few ways to do that, such as in your cookies or online in a database. For online storage you need to Sign Up, either with a username and password (please don't re-use your passwords folks), or you can sign in with a Google account too.<br>




</div><div> 2. Clone a copy of the Rails app and spin it up somewhere locally. We recognised quite early on that some organisations may feel uncomfortable with tracking this sort of information on the Internet, so, if you have the capability, sure, feel free to clone the repository locally and do what you wish. <a href="https://github.com/AsteriskLabs/ssa" target="_blank">https://github.com/AsteriskLabs/ssa</a></div>




<div><br></div><div>SSA is being released under an MIT license, and our intent is to give it back to the OWASP community for further enhancements. We have a high level list of proposed features available on the GitHub page, but currently they're being developed on a 'When Christian Has Time and is Sober' timescale. </div>




<div><br></div><div>====</div></div><div><br></div><div>Cheers all!</div><div><br></div><div>-Christian '@xntrik' Frichot</div><div><br></div><div>Perth OWASP Chapter</div><div><a href="mailto:christian.frichot@owasp.org" target="_blank">christian.frichot@owasp.org</a></div>




<div><a href="mailto:xntrik@gmail.com" target="_blank">xntrik@gmail.com</a></div></div>
<br></div></div>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div>
</blockquote></div><br></div>