<div dir="ltr">Seems we're trying to reinvent the wheel here. We should reference established taxonomies with clear definitions. Then compare the definitions with the Top 10 approach and resolve discrepancies, if any.<div><br></div><div>Do we agree or disagree with what we have on OWASP already? </div><div><br></div><div><div><a href="https://www.owasp.org/index.php/Category:Vulnerability">https://www.owasp.org/index.php/Category:Vulnerability</a><br></div><div><br></div><div>Other sources:</div><div><a href="https://cve.mitre.org/about/terminology.html">https://cve.mitre.org/about/terminology.html</a><br></div><div><a href="http://en.wikipedia.org/wiki/Vulnerability_(computing)">http://en.wikipedia.org/wiki/Vulnerability_(computing)</a><br></div><div><br></div><div>(repeat for all terms - vulnerability, attack, risk, etc)<br></div><div><br></div><div><br></div></div></div><div class="gmail_extra"><br clear="all"><div><div dir="ltr"><br>--<br>Michael Coates<div>Chairman, OWASP Board<br>@_mwc<br><br></div></div></div>
<br><div class="gmail_quote">On Mon, Sep 22, 2014 at 10:50 AM, Josh Sokol <span dir="ltr"><<a href="mailto:josh.sokol@owasp.org" target="_blank">josh.sokol@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div>I would agree with this Jim.  Inclusion of a control is only risk mitigation if there is a risk that you are mitigating.<span class="HOEnZb"><font color="#888888"><br><br></font></span></div><span class="HOEnZb"><font color="#888888">~josh<br></font></span></div><div class="HOEnZb"><div class="h5"><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Sep 22, 2014 at 12:25 PM, Jim Manico <span dir="ltr"><<a href="mailto:jim.manico@owasp.org" target="_blank">jim.manico@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto"><div>I am being pedantic, but you need to be when talking about nomenclature, Josh. We are supposed "experts" on AppSec and can't get it straight. This is a pretty big problem industry-wide in my opinions.<br><br>Inclusion of a control is not in and of itself risk mitigation.</div><div><br></div><div>Implementing a •control• that addresses a specific •exploitable weakness• in a live system (a vulnerability in a live system) is risk mitigation.</div><div><br></div><div>For example, you may have lack of query parameterization but no database, so thats not a real weakness or vuln that needs to be addressed.</div><span><div><div>--</div><div>Jim Manico</div><div>@Manicode</div><div><a href="tel:%28808%29%20652-3805" value="+18086523805" target="_blank">(808) 652-3805</a></div></div></span><div><div><div><br>On Sep 22, 2014, at 1:16 PM, Josh Sokol <<a href="mailto:josh.sokol@owasp.org" target="_blank">josh.sokol@owasp.org</a>> wrote:<br><br></div><blockquote type="cite"><div><div dir="ltr"><div>I know what he said.  I was expounding on it.  Lack of those is a weakness, sure.  Inclusion of those is risk mitigation.  That's all I'm suggesting there.<br><br></div>~josh<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Sep 22, 2014 at 12:08 PM, Jim Manico <span dir="ltr"><<a href="mailto:jim.manico@owasp.org" target="_blank">jim.manico@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span>> And in Bill's example, parameterized queries, input validation, and output encoding would be considered risk mitigation.<br>
<br>
</span>Bill said LACK OF parameterized queries and others which is a<br>
•weakness•, not risk mitigation.<br>
<span><br>
--<br>
Jim Manico<br>
@Manicode<br>
<a href="tel:%28808%29%20652-3805" value="+18086523805" target="_blank">(808) 652-3805</a><br>
<br>
</span><div><div>> On Sep 22, 2014, at 12:59 PM, Josh Sokol <<a href="mailto:josh.sokol@owasp.org" target="_blank">josh.sokol@owasp.org</a>> wrote:<br>
><br>
> And in Bill's example, parameterized queries, input validation, and output encoding would be considered risk mitigation.<br>
</div></div></blockquote></div><br></div>
</div></blockquote></div></div></div>
</blockquote></div><br></div>
</div></div><br>_______________________________________________<br>
Owasp-community mailing list<br>
<a href="mailto:Owasp-community@lists.owasp.org">Owasp-community@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-community" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-community</a><br>
<br></blockquote></div><br></div>