<div dir="ltr">Sharing FYI:<div><br></div><div><clip><br><h3 style="margin:15px 0px 10px;padding:0px;font-weight:normal;font-size:18px;line-height:18px;font-family:'Trebuchet MS',Verdana,Arial,sans-serif;color:rgb(89,90,89);background-color:rgb(238,239,240)">Reliance on Hardening, Not Obfuscation</h3><p style="margin:10px 0px 15px;padding:0px;color:rgb(133,133,134);font-family:'Trebuchet MS',Verdana,Arial,sans-serif;font-size:13px;line-height:19.5px;background-color:rgb(238,239,240)">Hiding code does not prevent attacks—and it it foolish to assume that it does. Open Source development practices rely on actually hardening (or improving the security of) code by making it available for peers to test and try to break, and then fixing the problems found.</p><div></clip?</div><div><br></div><div>From:</div><div><br></div><div><a href="http://mil-oss.org/learn-more/security-model-misconceptions">http://mil-oss.org/learn-more/security-model-misconceptions</a><br></div></div><div><br></div><div>Bev</div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Nov 4, 2014 at 8:29 PM, Christian Heinrich <span dir="ltr"><<a href="mailto:christian.heinrich@cmlh.id.au" target="_blank">christian.heinrich@cmlh.id.au</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Andrew,<br>
<span class=""><br>
On Wed, Nov 5, 2014 at 10:22 AM, Andrew van der Stock<br>
<<a href="mailto:vanderaj@owasp.org">vanderaj@owasp.org</a>> wrote:<br>
> I am ashamed to say when reviewing the ASVS 2.0, I totally missed the<br>
> inclusion of V17.11, which is a Level 3 control for requiring<br>
> obfuscation. Was this included because it was in the Mobile Top 10<br>
> 2014?<br>
<br>
</span>The benefit of obfuscation is that the auditor has to be much higher<br>
skilled than the "middle of the bell curve", who just copy a paste a<br>
report from their SAST product.<br>
<br>
This cost should be absorbed by the client since the auditor is<br>
required to undertaken additional work.<br>
<br>
In addition, obfuscation also minimises the loss of Intellectual<br>
property if the auditor misplaces the source code because the "[wo]man<br>
on the street" isn't going to be able to understand it or know what it<br>
is without some investment.<br>
<br>
I vote not to have obfuscation removed from ASVS, but reworded (in the<br>
next ASVS release) to include the additional clarification from the<br>
next release of the Mobile Top 10.<br>
<span class="HOEnZb"><font color="#888888"><br>
<br>
--<br>
Regards,<br>
Christian Heinrich<br>
<br>
<a href="http://cmlh.id.au/contact" target="_blank">http://cmlh.id.au/contact</a><br>
</font></span><div class="HOEnZb"><div class="h5">_______________________________________________<br>
Owasp-application-security-verification-standard mailing list<br>
<a href="mailto:Owasp-application-security-verification-standard@lists.owasp.org">Owasp-application-security-verification-standard@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-application-security-verification-standard" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-application-security-verification-standard</a><br>
</div></div></blockquote></div><br></div>