<div dir="ltr">Hey everyone,<div><br></div><div>I've been remiss in telling the OWASP community about the Top 10 project plans for a 2016 release. This thread has reminded me to do so (so thanks for that).</div><div><br></div><div>Historically, we've produced a new OWASP Top 10 every 3 years because this seems to balance the tempo of change in the AppSec market, all the work everyone does to map their tool/process/other thing to each version of the OWASP Top 10, and the effort required to produce it. We've been producing a new one every three years since 2004 (i.e., 2007/2010/2013), and so a new version for 2016 is due. (Definitely not happening in 2015).</div><div><br></div><div>However, we've been thinking about what might change in a 2016 release of the Top 10 and we don't actually think it would change much, if at all, which is kind of sad actually. I suspect some Top 10 items might move up or down based on the vulnerability prevalence statistics that we would need to gather and process, but I have my doubts that any new vulnerability types would break into the Top 10.</div><div><br></div><div>As such, given that we don't expect the list to actually change in any substantial way, the project has decided to defer the next update to a 2017 release. We will start gathering data for this release in (hopefully early) 2016 so a draft is ready by the end of the year, and then we'll have an open comment period and then an updated and final release, just like we do for every other release of the OWASP Top 10.</div><div><br></div><div>As I promised 2+ years ago, we are going to be much more open about the production of the 2017 OWASP Top 10 draft. We are going to an open call for data and anyone can participate. As part of this open call, we plan to define a required format for the data submission, and indicate that this data will be made public so everyone can analyze this data, not just the Top 10 project.</div><div><br></div><div>This data call is about vulnerability prevalence statistics. (i.e., what is found by consultants/testers, and what is found by tools/services). We'd also love to collect data about what vulnerabilities are actually being exploited and what damage is being done. Right now, in the Top 10, we list a set of factors that define the risk level of item in the Top 10, but only one is based on statistics, the others are based on our professional opinion. If anyone has any ideas on other statistics we can collect to help guide our analysis of what truly are the Top 10 Risks to Web Applications, please let the project know.<br><div><br></div><div>Thanks, Dave</div><div><br></div><div><div style="font-size:12.8000001907349px">Dave Wichers</div><div style="font-size:12.8000001907349px">OWASP Top 10 Project Lead</div></div><div><br></div><div>p.s. And here are the answers to Eoin's questions:</div><div><br></div><div><div style="font-size:12.8000001907349px">* Who is the project lead for the top 10?  Answer: Me (Dave Wichers) - Eoin - you know that :-)</div><div style="font-size:12.8000001907349px">* Can we ask other folks to supply similar data also? <span style="font-size:12.8000001907349px">Answer:</span><span style="font-size:12.8000001907349px"> </span><span style="font-size:12.8000001907349px">Of course. We are going to make a public data call.</span></div><div style="font-size:12.8000001907349px">* Should we have a call to the leaders list?  <span style="font-size:12.8000001907349px">Answer:</span><span style="font-size:12.8000001907349px"> </span><span style="font-size:12.8000001907349px">Yes - when we are ready for it.</span></div><div style="font-size:12.8000001907349px"><br></div><div style="font-size:12.8000001907349px">* Should we include both DAST and SAST metrics? I think we should. <span style="font-size:12.8000001907349px">Answer:</span><span style="font-size:12.8000001907349px"> </span><span style="font-size:12.8000001907349px">Yes of course and we have done so in the past. DAST means Dynamic Analysis (like ZAP/Burp/WebInspect) - SAST means static analysis. And we should also include runtime analysis (Gartner calls this IAST) since this new category of tools has come out.</span></div><div style="font-size:12.8000001907349px"><br></div><div style="font-size:12.8000001907349px">* Metrics should be validated and verified as to remove all false positives and not skew the stats.  <span style="font-size:12.8000001907349px">Answer:</span><span style="font-size:12.8000001907349px"> </span><span style="font-size:12.8000001907349px">Not sure about this. We take results provided by vendors and consultants, and presume they have already vetted their results. We get results from LOTS of providers (more every release) to help avoid skew from bad data from one source as well as skew from what tools (in general) find vs. what different types of tools find vs. what human analysts find.</span></div></div><div style="font-size:12.8000001907349px"><br></div><div style="font-size:12.8000001907349px"><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Sat, Jun 27, 2015 at 4:56 AM, Eoin Keary <span dir="ltr"><<a href="mailto:eoin.keary@owasp.org" target="_blank">eoin.keary@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto"><div>Hi Timo,</div><div><br></div><div>Metrics for the top10 from us shall be cleaned and sorted :)</div><div>In a spreadsheet or XML or whatever you need. The same data is used For our own vulnerability stats report. </div><div><br></div><div>Who is the project lead for the top 10?</div><div>Can we ask other folks to supply similar data also? </div><div>Should we have a call to the leaders list?</div><div>Should we include both Dast and SAST metrics? I think we should.</div><div>Metrics should be validated and verified as to remove all false positives and not skew the stats.</div><div><br></div><div><br></div><div><br>Eoin Keary<div>OWASP Volunteer</div><div>@eoinkeary</div><div><span style="font-size:13pt"><br></span></div><div><br></div></div><div><br>On 27 Jun 2015, at 09:40, Timo Goosen <<a href="mailto:timo.goosen@owasp.org" target="_blank">timo.goosen@owasp.org</a>> wrote:<br><br></div><blockquote type="cite"><div><div dir="ltr"><div><div><div>Thanks that would be great. WIll the data need to be processed?<br></div>I'm thinking we can turn this into one of the sessions at AppSec USA Project Summit.<br></div><div>I'd be happy to lead it if I am at the summit.<br></div><div><br><br></div>Regards.<br></div>Timo<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Jun 26, 2015 at 11:14 AM, Eoin Keary <span dir="ltr"><<a href="mailto:eoin.keary@owasp.org" target="_blank">eoin.keary@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto"><div>We have 1000s of sanitised vulnerability data via our SaaS service which covers multiple industry verticals and tech stacks globally.</div><div><br></div><div>Both app layer CVE (known vulns) and coding issues (sqli, Xss etc etc). We have this to donate to the statistical model when required.</div><div><br></div><div>Eoin.<br><br>Eoin Keary<div>OWASP Volunteer</div><div>@eoinkeary</div><div><span style="font-size:13pt"><br></span></div><div><br></div></div><div><div><div><br>On 26 Jun 2015, at 12:01, Timo Goosen <<a href="mailto:timo.goosen@owasp.org" target="_blank">timo.goosen@owasp.org</a>> wrote:<br><br></div></div></div><blockquote type="cite"><div><div><div><div dir="ltr"><a href="https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project" target="_blank">https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project</a><br><div><br></div><div><br></div><div>This is one of the most well know OWASP projects that I can think of. The OWASP top ten only has a top ten for 2013, but not for 2013 and 2014.  This project is a flagship project, but I feel the project needs to bring out some new content considering that this is one of the most well known OWASP projects and also because the world of infosec moves really fast and two years is a life time in our field.</div><div><br></div><div>I don't have much say in this project but I'd like to see a Top ten for 2015, with research to back up the statistics. If the people on the project don't have time to come up with this info then I suggest we create a budget and request funding for someone to put time into this.</div><div><br></div><div><br></div><div>Would like your thoughts on the matter.</div><div><br></div><div>Regards.</div><div>Timo</div></div><span class="HOEnZb"><font color="#888888">

<p></p></font></span></div></div><span class="HOEnZb"><font color="#888888"><span><font color="#888888">

-- <br>
You received this message because you are subscribed to the Google Groups "OWASP Projects Task Force" group.<br>
To unsubscribe from this group and stop receiving emails from it, send an email to <a href="mailto:projects-task-force+unsubscribe@owasp.org" target="_blank">projects-task-force+unsubscribe@owasp.org</a>.<br>
To post to this group, send email to <a href="mailto:projects-task-force@owasp.org" target="_blank">projects-task-force@owasp.org</a>.<br>
To view this discussion on the web visit <a href="https://groups.google.com/a/owasp.org/d/msgid/projects-task-force/CAMOWqYCb7MUpj%3DDO4QyAjNHQPd6ts935g44Gd3SoPNe_dPE7iw%40mail.gmail.com?utm_medium=email&utm_source=footer" target="_blank">https://groups.google.com/a/owasp.org/d/msgid/projects-task-force/CAMOWqYCb7MUpj%3DDO4QyAjNHQPd6ts935g44Gd3SoPNe_dPE7iw%40mail.gmail.com</a>.<br>
</font></span></font></span></div></blockquote></div></blockquote></div><span class="HOEnZb"><font color="#888888"><br></font></span></div>
</div></blockquote></div><br>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div></div>