<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=iso-8859-1">
<META content="MSHTML 6.00.2800.1458" name=GENERATOR>
<STYLE></STYLE>
</HEAD>
<BODY>
<DIV>
<P>All,</P>
<P>Here is a link to the "Joel Test."&nbsp; He writes... "Have you ever heard of 
<A href="http://www.sei.cmu.edu/sema/welcome.html">SEMA</A>? It's a fairly 
esoteric system for measuring how good a software team is. No, <I>wait! Don't 
follow that link! </I>It will take you about six years just to <I>understand</I> 
that stuff. So I've come up with my own, highly irresponsible, sloppy test to 
rate the quality of a software team. The great part about it is that it takes 
about 3 minutes. With all the time you save, you can go to medical 
school."&nbsp; <A 
href="http://www.joelonsoftware.com/articles/fog0000000043.html">http://www.joelonsoftware.com/articles/fog0000000043.html</A></P>
<P>&nbsp;</P>
<P>Also, here are the questions from the (never used) marketing piece I 
mentioned.&nbsp; We tried to cover people, process, and technology. &nbsp;I 
think the questions aren't easy enough to answer and should be shorter like in 
the Joel Test.</P>
<P>[] Have your programmers been trained in secure programming techniques? Did 
the class cover vulnerabilities specific to your environment, type of 
application, and development process?</P>
<P>[] Are the security rules, policies, and requirements for your application 
documented? Do the rules cover all major security mechanisms and vulnerability 
areas? Are coding and commenting standards included?</P>
<P>[] Is encryption and decryption carefully implemented? Are all cerfiticates, 
passwords, keys, and other credentials protected at all times? Is all sensitive 
information stored in an encrypted or hashed form?</P>
<P>[] Do you validate every piece of information that comes from a user, even if 
users have no obvious way to change that information? Do you check for allowed 
content instead of attempting to filter out the bad stuff?</P>
<P>[] Do you have source control and bug-tracking systems? These are indicators 
that security problems can be tracked to their root causes and your development 
process can be improved.</P>
<P>[] Does your application’s design demonstrate solid security concepts such as 
defense in depth, fail safe design, least privilege, and open design? Does every 
design decision include security analysis?</P>
<P>[] Do you have a document that details your environment’s secure installation 
and configuration? Is it really used? Is it consistent with available hardening 
guidelines and kept up to date?</P>
<P>[] Are your authentication and session management schemes secure? Are all 
credentials and session identifiers non-guessable and protected at all times? Is 
the mechanism in one place and easy to check?</P>
<P>[] Is it impossible for one user to access another’s information? Have the 
authorization rules for each role, account, and function been documented in one 
place? Is the mechanism in one place and easy to check? </P>
<P>[] Does your project find security vulnerabilities before they become 
problems or only after? Are all audit reports documented and tracked to 
completion?</P></DIV>
<DIV>
<P>--Jeff</P></DIV>
<DIV>Jeff Williams, CEO<BR>Aspect Security, Inc.<BR><A 
href="http://www.aspectsecurity.com">http://www.aspectsecurity.com</A><BR>work: 
410-707-1487<BR>main: 301-604-4882</DIV></BODY></HTML>