<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:x="urn:schemas-microsoft-com:office:excel" xmlns:p="urn:schemas-microsoft-com:office:powerpoint" xmlns:a="urn:schemas-microsoft-com:office:access" xmlns:dt="uuid:C2F41010-65B3-11d1-A29F-00AA00C14882" xmlns:s="uuid:BDC6E3F0-6DA3-11d1-A2A3-00AA00C14882" xmlns:rs="urn:schemas-microsoft-com:rowset" xmlns:z="#RowsetSchema" xmlns:b="urn:schemas-microsoft-com:office:publisher" xmlns:ss="urn:schemas-microsoft-com:office:spreadsheet" xmlns:c="urn:schemas-microsoft-com:office:component:spreadsheet" xmlns:odc="urn:schemas-microsoft-com:office:odc" xmlns:oa="urn:schemas-microsoft-com:office:activation" xmlns:html="http://www.w3.org/TR/REC-html40" xmlns:q="http://schemas.xmlsoap.org/soap/envelope/" xmlns:rtc="http://microsoft.com/officenet/conferencing" xmlns:D="DAV:" xmlns:Repl="http://schemas.microsoft.com/repl/" xmlns:mt="http://schemas.microsoft.com/sharepoint/soap/meetings/" xmlns:x2="http://schemas.microsoft.com/office/excel/2003/xml" xmlns:ppda="http://www.passport.com/NameSpace.xsd" xmlns:ois="http://schemas.microsoft.com/sharepoint/soap/ois/" xmlns:dir="http://schemas.microsoft.com/sharepoint/soap/directory/" xmlns:ds="http://www.w3.org/2000/09/xmldsig#" xmlns:dsp="http://schemas.microsoft.com/sharepoint/dsp" xmlns:udc="http://schemas.microsoft.com/data/udc" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:sub="http://schemas.microsoft.com/sharepoint/soap/2002/1/alerts/" xmlns:ec="http://www.w3.org/2001/04/xmlenc#" xmlns:sp="http://schemas.microsoft.com/sharepoint/" xmlns:sps="http://schemas.microsoft.com/sharepoint/soap/" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:udcs="http://schemas.microsoft.com/data/udc/soap" xmlns:udcxf="http://schemas.microsoft.com/data/udc/xmlfile" xmlns:udcp2p="http://schemas.microsoft.com/data/udc/parttopart" xmlns:wf="http://schemas.microsoft.com/sharepoint/soap/workflow/" xmlns:dsss="http://schemas.microsoft.com/office/2006/digsig-setup" xmlns:dssi="http://schemas.microsoft.com/office/2006/digsig" xmlns:mdssi="http://schemas.openxmlformats.org/package/2006/digital-signature" xmlns:mver="http://schemas.openxmlformats.org/markup-compatibility/2006" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns:mrels="http://schemas.openxmlformats.org/package/2006/relationships" xmlns:spwp="http://microsoft.com/sharepoint/webpartpages" xmlns:ex12t="http://schemas.microsoft.com/exchange/services/2006/types" xmlns:ex12m="http://schemas.microsoft.com/exchange/services/2006/messages" xmlns:pptsl="http://schemas.microsoft.com/sharepoint/soap/SlideLibrary/" xmlns:spsl="http://microsoft.com/webservices/SharePointPortalServer/PublishedLinksService" xmlns:Z="urn:schemas-microsoft-com:" xmlns:st="&#1;" xmlns="http://www.w3.org/TR/REC-html40">

<head>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=us-ascii">
<meta name=Generator content="Microsoft Word 12 (filtered medium)">
<!--[if !mso]>
<style>
v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
</style>
<![endif]-->
<style>
<!--
 /* Font Definitions */
 @font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
 /* Style Definitions */
 p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
        {mso-style-priority:99;
        mso-style-link:"Balloon Text Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:8.0pt;
        font-family:"Tahoma","sans-serif";}
span.EmailStyle17
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.BalloonTextChar
        {mso-style-name:"Balloon Text Char";
        mso-style-priority:99;
        mso-style-link:"Balloon Text";
        font-family:"Tahoma","sans-serif";}
.MsoChpDefault
        {mso-style-type:export-only;}
@page Section1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.Section1
        {page:Section1;}
-->
</style>
<!--[if gte mso 9]><xml>
 <o:shapedefaults v:ext="edit" spidmax="2050" />
</xml><![endif]--><!--[if gte mso 9]><xml>
 <o:shapelayout v:ext="edit">
  <o:idmap v:ext="edit" data="1" />
 </o:shapelayout></xml><![endif]-->
</head>

<body lang=EN-US link=blue vlink=purple>

<div class=Section1>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'>I think Dinis and Ounce are better to answer that.&nbsp; It was my understanding
that 02 was best to supplement Ounce or another code scanning tool not replace
it.&nbsp;&nbsp; You still have to build and scan the application and then you can use O2
to manipulate the findings.&nbsp;&nbsp; Does anyone disagree with that statement?&nbsp; <o:p></o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'>Thanks,<o:p></o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'>Matt<o:p></o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal><span style='font-size:16.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'>Matt Parsons, MSM, CISSP<o:p></o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#002060'>315-559-3588 Blackberry<o:p></o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#002060'>817-294-3789 Home office <o:p></o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#002060'><a href="mailto:mparons1980@gmail.com"><span style='color:blue'>mailto:mparsons1980@gmail.com</span></a><o:p></o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#002060'><a href="http://www.parsonsisconsulting.com"><span
style='color:blue'>http://www.parsonsisconsulting.com</span></a><o:p></o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#002060'><a href="http://www.o2-ounceopen.com/o2-power-users/"><span
style='color:blue'>http://www.o2-ounceopen.com/o2-power-users/</span></a><o:p></o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#002060'><a href="http://www.linkedin.com/in/parsonsconsulting"><span
style='color:blue'>http://www.linkedin.com/in/parsonsconsulting</span></a><o:p></o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#002060'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#002060'><img border=0 width=100 height=100 id="Picture_x0020_1"
src="cid:image001.jpg@01CA6D31.13F63C90" alt="CISSP_logo"><o:p></o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#002060'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#002060'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal><b><i><span style='font-size:18.0pt;font-family:"Arial","sans-serif";
color:#1F497D'><img border=0 width=94 height=106 id="Picture_x0020_2"
src="cid:image002.jpg@01CA6D31.13F63C90" alt=mattcropped></span></i></b><span
style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p></o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'><o:p>&nbsp;</o:p></span></p>

<div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'>

<p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From:</span></b><span
style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> Brad Causey
[mailto:bradcausey@gmail.com] <br>
<b>Sent:</b> Tuesday, November 24, 2009 6:00 PM<br>
<b>To:</b> Matt Parsons<br>
<b>Cc:</b> Dinis Cruz; owasp-o2-platform@lists.owasp.org<br>
<b>Subject:</b> Re: [Owasp-o2-platform] Feedback<o:p></o:p></span></p>

</div>

<p class=MsoNormal><o:p>&nbsp;</o:p></p>

<p class=MsoNormal style='margin-bottom:12.0pt'>Ahah!! I do not have the Ounce
Security Analyst.<br>
<br>
Does this mean I'm SOL?<br>
I have used Analyst and it is a fantastic tool! Unfortunately I'm restricted to
open source.<br>
<br clear=all>
-Brad Causey<br>
CISSP, MCSE, C|EH, CIFI, CGSP<br>
<br>
<a href="http://www.owasp.org">http://www.owasp.org</a><br>
--<br>
Never underestimate the time, expense, and effort an opponent will expend to
break a code. (Robert Morris)<br>
--<br>
<br>
<o:p></o:p></p>

<div>

<p class=MsoNormal>On Tue, Nov 24, 2009 at 5:55 PM, Matt Parsons &lt;<a
href="mailto:mparsons1980@gmail.com">mparsons1980@gmail.com</a>&gt; wrote:<o:p></o:p></p>

<div>

<div>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#1F497D'>I use Ounce and set the setting on Ounce
Labs in Preferences to scan jar files.&nbsp; See attached screen
shots.&nbsp;&nbsp; </span><o:p></o:p></p>

<div>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#1F497D'>&nbsp;</span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#1F497D'>Thanks,</span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#1F497D'>Matt</span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#1F497D'>&nbsp;</span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#1F497D'>&nbsp;</span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#1F497D'>&nbsp;</span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#1F497D'>&nbsp;</span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:16.0pt;color:#1F497D'>Matt Parsons, MSM, CISSP</span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#002060'>315-559-3588 Blackberry</span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#002060'>817-294-3789 Home office </span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#002060'><a href="mailto:mparons1980@gmail.com"
target="_blank">mailto:mparsons1980@gmail.com</a></span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#002060'><a
href="http://www.parsonsisconsulting.com" target="_blank">http://www.parsonsisconsulting.com</a></span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#002060'><a
href="http://www.o2-ounceopen.com/o2-power-users/" target="_blank">http://www.o2-ounceopen.com/o2-power-users/</a></span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#002060'><a
href="http://www.linkedin.com/in/parsonsconsulting" target="_blank">http://www.linkedin.com/in/parsonsconsulting</a></span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#002060'>&nbsp;</span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#002060'><img border=0 width=100 height=100
id="_x0000_i1025" src="cid:image003.jpg@01CA6D31.13F63C90" alt="CISSP_logo"></span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#002060'>&nbsp;</span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#002060'>&nbsp;</span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><b><i><span
style='font-size:18.0pt;color:#1F497D'><img border=0 width=94 height=106
id="_x0000_i1026" src="cid:image004.jpg@01CA6D31.13F63C90" alt=mattcropped></span></i></b><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#1F497D'>&nbsp;</span><o:p></o:p></p>

</div>

<div style='border:none;border-top:solid windowtext 1.0pt;padding:3.0pt 0in 0in 0in;
border-color:-moz-use-text-color -moz-use-text-color'>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><b><span
style='font-size:10.0pt'>From:</span></b><span style='font-size:10.0pt'> Brad
Causey [mailto:<a href="mailto:bradcausey@gmail.com" target="_blank">bradcausey@gmail.com</a>]
<br>
<b>Sent:</b> Tuesday, November 24, 2009 5:43 PM<o:p></o:p></span></p>

<div>

<div>

<p class=MsoNormal><span style='font-size:10.0pt'><br>
<b>To:</b> Matt Parsons<br>
<b>Cc:</b> Dinis Cruz; <a href="mailto:owasp-o2-platform@lists.owasp.org"
target="_blank">owasp-o2-platform@lists.owasp.org</a><br>
<b>Subject:</b> Re: [Owasp-o2-platform] Feedback<o:p></o:p></span></p>

</div>

</div>

</div>

<div>

<div>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>&nbsp;<o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;margin-bottom:12.0pt'>Matt,<br>
<br>
This is good stuff, but it assumes you already have a findings file. Once I get
there, this will be most helpful.<br>
<br>
Lets start with what tool you are using from the O2 binaries to ingest EAR
files?<br>
<br>
<br clear=all>
-Brad Causey<br>
CISSP, MCSE, C|EH, CIFI, CGSP<br>
<br>
<a href="http://www.owasp.org" target="_blank">http://www.owasp.org</a><br>
--<br>
Never underestimate the time, expense, and effort an opponent will expend to
break a code. (Robert Morris)<br>
--<o:p></o:p></p>

<div>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>On
Tue, Nov 24, 2009 at 5:00 PM, Matt Parsons &lt;<a
href="mailto:mparsons1980@gmail.com" target="_blank">mparsons1980@gmail.com</a>&gt;
wrote:<o:p></o:p></p>

<div>

<div>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#1F497D'>Brad,</span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#1F497D'>If you can get this attached is a
presentation that I created off of one of Dinis classes.&nbsp; Please let me
know if you have any questions and if you receive it.&nbsp; </span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#1F497D'>&nbsp;</span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#1F497D'>Dinis,</span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#1F497D'>Feel free to modify this and post on the
02 website if you see value to it.&nbsp;&nbsp; </span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#1F497D'>&nbsp;</span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#1F497D'>Thanks,</span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#1F497D'>Matt</span><o:p></o:p></p>

<div>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#1F497D'>&nbsp;</span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#1F497D'>&nbsp;</span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:16.0pt;color:#1F497D'>Matt Parsons, MSM, CISSP</span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#002060'>315-559-3588 Blackberry</span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#002060'>817-294-3789 Home office </span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#002060'><a href="mailto:mparons1980@gmail.com"
target="_blank">mailto:mparsons1980@gmail.com</a></span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#002060'><a
href="http://www.parsonsisconsulting.com" target="_blank">http://www.parsonsisconsulting.com</a></span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#002060'><a
href="http://www.o2-ounceopen.com/o2-power-users/" target="_blank">http://www.o2-ounceopen.com/o2-power-users/</a></span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#002060'><a
href="http://www.linkedin.com/in/parsonsconsulting" target="_blank">http://www.linkedin.com/in/parsonsconsulting</a></span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#002060'>&nbsp;</span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#002060'><img border=0 width=100 height=100
id="_x0000_i1027" src="cid:image003.jpg@01CA6D31.13F63C90" alt="CISSP_logo"></span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#002060'>&nbsp;</span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#002060'>&nbsp;</span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><b><i><span
style='font-size:18.0pt;color:#1F497D'><img border=0 width=94 height=106
id="_x0000_i1028" src="cid:image004.jpg@01CA6D31.13F63C90" alt=mattcropped></span></i></b><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#1F497D'>&nbsp;</span><o:p></o:p></p>

</div>

<div style='border:none;border-top:solid windowtext 1.0pt;padding:3.0pt 0in 0in 0in;
border-color:-moz-use-text-color'>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><b><span
style='font-size:10.0pt'>From:</span></b><span style='font-size:10.0pt'> Brad
Causey [mailto:<a href="mailto:bradcausey@gmail.com" target="_blank">bradcausey@gmail.com</a>]
<br>
<b>Sent:</b> Tuesday, November 24, 2009 4:47 PM<br>
<b>To:</b> Matt Parsons<br>
<b>Cc:</b> Dinis Cruz; <a href="mailto:owasp-o2-platform@lists.owasp.org"
target="_blank">owasp-o2-platform@lists.owasp.org</a></span><o:p></o:p></p>

<div>

<div>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:10.0pt'><br>
<b>Subject:</b> Re: [Owasp-o2-platform] Feedback</span><o:p></o:p></p>

</div>

</div>

</div>

<div>

<div>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>&nbsp;<o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;margin-bottom:12.0pt'>Matt
and Dinis,<br>
<br>
Forgive me, but are there &quot;super stupid basic&quot; tutorials out there? I
briefly scoured the sight, and I've got a decent handle on 2 or 3 of the tools
from just playing around with it. Ideally, a getting started document would be
great. <br>
<br>
Matt - What o2 tool do you use, and what are you basic steps to get it into an
oz file so you can view it in O2?<br>
<br>
<br clear=all>
-Brad Causey<br>
CISSP, MCSE, C|EH, CIFI, CGSP<br>
<br>
<a href="http://www.owasp.org" target="_blank">http://www.owasp.org</a><br>
--<br>
Never underestimate the time, expense, and effort an opponent will expend to
break a code. (Robert Morris)<br>
--<o:p></o:p></p>

<div>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>On
Tue, Nov 24, 2009 at 2:34 PM, Matt Parsons &lt;<a
href="mailto:mparsons1980@gmail.com" target="_blank">mparsons1980@gmail.com</a>&gt;
wrote:<o:p></o:p></p>

<div>

<div>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>I
use Ounce Labs out of the box to scan wars, jars and ears.&nbsp; I then use O2
to filter my findings for my clients.&nbsp;&nbsp; I also scan Dot-net source as
long as it compiles; with Ounce Labs out of the box.&nbsp;&nbsp; The generic
pdf reports can be created from Ounce Labs.&nbsp;&nbsp; When I do an assessment
I break the findings up into required, requested, informational, too be
investigated, validation required, validation encoding required and potentially
malicious.&nbsp;&nbsp;&nbsp; These are all broken up using bundles.&nbsp;&nbsp;
<o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>&nbsp;<o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>The
reports can be tweaked using O2.&nbsp; But I generally create reports by API
with five lines above and five lines below each context of line of
code.&nbsp;&nbsp; Let me know if that helps.&nbsp;&nbsp; <o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>&nbsp;<o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>Thanks,<o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>Matt<o:p></o:p></p>

<div>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><br>
1. Scan java source. Such as WAR, JAR,&nbsp; and EAR.<br>
2. Scan Dot-net source. Compiled and otherwise.<br>
3. Create a report from these scans that allows us to prioritize, browse, etc.<o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#1F497D'>&nbsp;</span><o:p></o:p></p>

</div>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:16.0pt;color:#1F497D'>Matt Parsons, MSM, CISSP</span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#002060'>315-559-3588 Blackberry</span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#002060'>817-294-3789 Home office </span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#002060'><a href="mailto:mparons1980@gmail.com"
target="_blank">mailto:mparsons1980@gmail.com</a></span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#002060'><a
href="http://www.parsonsisconsulting.com" target="_blank">http://www.parsonsisconsulting.com</a></span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#002060'><a
href="http://www.o2-ounceopen.com/o2-power-users/" target="_blank">http://www.o2-ounceopen.com/o2-power-users/</a></span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#002060'><a
href="http://www.linkedin.com/in/parsonsconsulting" target="_blank">http://www.linkedin.com/in/parsonsconsulting</a></span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#002060'>&nbsp;</span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#002060'><img border=0 width=100 height=100
id="_x0000_i1029" src="cid:image003.jpg@01CA6D31.13F63C90" alt="CISSP_logo"></span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#002060'>&nbsp;</span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#002060'>&nbsp;</span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><b><i><span
style='font-size:18.0pt;color:#1F497D'><img border=0 width=94 height=106
id="_x0000_i1030" src="cid:image004.jpg@01CA6D31.13F63C90" alt=mattcropped></span></i></b><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#1F497D'>&nbsp;</span><o:p></o:p></p>

<div style='border:none;border-top:solid windowtext 1.0pt;padding:3.0pt 0in 0in 0in;
border-color:-moz-use-text-color'>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><b><span
style='font-size:10.0pt'>From:</span></b><span style='font-size:10.0pt'> <a
href="mailto:owasp-o2-platform-bounces@lists.owasp.org" target="_blank">owasp-o2-platform-bounces@lists.owasp.org</a>
[mailto:<a href="mailto:owasp-o2-platform-bounces@lists.owasp.org"
target="_blank">owasp-o2-platform-bounces@lists.owasp.org</a>] <b>On Behalf Of </b>Brad
Causey<br>
<b>Sent:</b> Tuesday, November 24, 2009 12:21 PM<br>
<b>To:</b> Dinis Cruz<br>
<b>Cc:</b> <a href="mailto:owasp-o2-platform@lists.owasp.org" target="_blank">owasp-o2-platform@lists.owasp.org</a><br>
<b>Subject:</b> Re: [Owasp-o2-platform] Feedback</span><o:p></o:p></p>

</div>

<div>

<div>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>&nbsp;<o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;margin-bottom:12.0pt'>See
Inline<br clear=all>
<o:p></o:p></p>

<div>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>On
Tue, Nov 24, 2009 at 12:07 PM, Dinis Cruz &lt;<a href="mailto:dinis@ddplus.net"
target="_blank">dinis@ddplus.net</a>&gt; wrote:<o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>This
is great news Brad, please dump as much info here regarding what are your
requirements, objectives and deliverables (you can also use&nbsp;the O2
Power-User Blogs which you have an account :) ).<o:p></o:p></p>

<div>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>&nbsp;<o:p></o:p></p>

</div>

<blockquote style='border:none;border-left:solid windowtext 1.0pt;padding:0in 0in 0in 6.0pt;
margin-left:4.8pt;margin-top:5.0pt;margin-right:0in;margin-bottom:5.0pt;
border-color:-moz-use-text-color -moz-use-text-color -moz-use-text-color rgb(204, 204, 204)'>

<div>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>The
best way to 'consume' O2 is to have a very explicit set of problems that we can
use O2 to solve. So Brad, are you able to list 5 items that you would like to
do with O2?<o:p></o:p></p>

</div>

</blockquote>

<div>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>&nbsp;<o:p></o:p></p>

</div>

<div>

<p class=MsoNormal style='mso-margin-top-alt:auto;margin-bottom:12.0pt'>This I
can handle:<br>
<br>
1. Scan java source. Such as WAR, JAR,&nbsp; and EAR.<br>
2. Scan Dot-net source. Compiled and otherwise.<br>
3. Create a report from these scans that allows us to prioritize, browse, etc.<br>
<br>
Thats about it really. I've looked at findbugs and Yasca but findbugs is just
Java and Yasca's plugins appear broken on the latest release.<o:p></o:p></p>

</div>

<blockquote style='border:none;border-left:solid windowtext 1.0pt;padding:0in 0in 0in 6.0pt;
margin-left:4.8pt;margin-top:5.0pt;margin-right:0in;margin-bottom:5.0pt;
border-color:-moz-use-text-color -moz-use-text-color -moz-use-text-color rgb(204, 204, 204)'>

<div>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>&nbsp;<o:p></o:p></p>

</div>

<div>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>Regarding
training, there are already a couple commercial options that are available to
you: Bruce or Ian from IBM/Ounce , Cigital (talk to John Steven since he knows
the best ones), &nbsp;<span style='font-size:8.0pt'>Matt Parsons, and (if you
fly them from Brazil) Wagner from Conviso. There are a couple others
power-users out there, but I'm not sure I can mention their names :)</span><o:p></o:p></p>

</div>

</blockquote>

<div>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>&nbsp;<o:p></o:p></p>

</div>

<div>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>I
would prefer to go through OWASP for this, thoughts?<br>
&nbsp;<o:p></o:p></p>

</div>

<blockquote style='border:none;border-left:solid windowtext 1.0pt;padding:0in 0in 0in 6.0pt;
margin-left:4.8pt;margin-top:5.0pt;margin-right:0in;margin-bottom:5.0pt;
border-color:-moz-use-text-color -moz-use-text-color -moz-use-text-color rgb(204, 204, 204)'>

<div>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>&nbsp;<o:p></o:p></p>

</div>

<div>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>On
the topic of O2 Users and Companies providing commercial services on top of O2,
I've started a page here (<a
href="http://www.owasp.org/index.php/OWASP_O2_Platform/WIKI/Active_O2_Users"
target="_blank">http://www.owasp.org/index.php/OWASP_O2_Platform/WIKI/Active_O2_Users</a>)
and please feel free to add your name (It's a WIKI, just get an account and
start editing)<o:p></o:p></p>

</div>

</blockquote>

<div>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><br>
Assuming we finalize our process and make this an authorized tool, we just
might do that. =)<br>
&nbsp;<o:p></o:p></p>

</div>

<blockquote style='border:none;border-left:solid windowtext 1.0pt;padding:0in 0in 0in 6.0pt;
margin-left:4.8pt;margin-top:5.0pt;margin-right:0in;margin-bottom:5.0pt;
border-color:-moz-use-text-color -moz-use-text-color -moz-use-text-color rgb(204, 204, 204)'>

<div>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>&nbsp;<o:p></o:p></p>

</div>

<div>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='color:#888888'>Dinis</span><o:p></o:p></p>

</div>

<div>

<div>

<div>

<div>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>&nbsp;<o:p></o:p></p>

<div>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>On
Mon, Nov 23, 2009 at 2:19 PM, Brad Causey &lt;<a
href="mailto:bradcausey@gmail.com" target="_blank">bradcausey@gmail.com</a>&gt;
wrote:<o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>I'm
firing this into the open forum because hopefully other folks will be able to
get something from it.<br>
<br>
I am creating a standardized code review process manual for my employer. This
will include step-by-step (yay for the reqs in the financial sector) guide on
what needs to be done. Now because we don't have a shi-ton of coders on our
team, we need a tool to assist us. We primarly deal in java and dot-net.
Because of this, O2 came to mind, and I'm proud to say I've convinced my boss
to let me attempt to make O2 the &quot;authorized&quot; tool for code review,
across the organization.<br>
<br>
I will probably end up having to hire a trainer and bring them in to train the
team on O2, but this also drives home the need for some simplistic interfaces,
and good docs.<br>
<br>
I'd like to get with you Dinis, and make this happen, and share what we
create/learn with the O2 mailing list. Anonomized of course. =)<o:p></o:p></p>

<div>

<p class=MsoNormal style='mso-margin-top-alt:auto;margin-bottom:12.0pt'><br>
<br>
<br clear=all>
-Brad Causey<br>
CISSP, MCSE, C|EH, CIFI, CGSP<br>
<br>
<a href="http://www.owasp.org" target="_blank">http://www.owasp.org</a><br>
--<br>
Never underestimate the time, expense, and effort an opponent will expend to
break a code. (Robert Morris)<br>
--<o:p></o:p></p>

</div>

<div>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>On
Sat, Nov 21, 2009 at 10:04 AM, dinis cruz &lt;<a
href="mailto:dinis.cruz@owasp.org" target="_blank">dinis.cruz@owasp.org</a>&gt;
wrote:<o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;margin-bottom:12.0pt'>First
of all, a big<b> Thank You to Rohit</b>, since feedback like this is not easy
to do, and he is also providing a number of very good ideas (which I will
implement in the very short term)<br>
<br>
I also completely agree with Rohit (and probably most of you that have tried
O2) <b>that O2's GUI sucks from the point of view of a new user</b>. <br>
<br>
I really like the idea of 'information hiding' for new users suggested by
Rohit, in fact once I made a bunch of 'analog' (i.e. on paper) sketches based
on the idea of 'rewarding user with features once he 'achieves' a certain task
(just like the games on the iPhone (which my kids play) which only let you go
to the next level once you completed the current one.<br>
<br>
I'm going to provide a much more detailed answer to Rohit (including with a PoC
of the GUI that he described), but please keep feedback like this coming<br>
<br>
And if you want to be track your requests, you can add them here: <a
href="http://code.google.com/p/o2platform/issues/list" target="_blank">http://code.google.com/p/o2platform/issues/list</a><br>
<br>
Dinis Cruz<o:p></o:p></p>

<div>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>2009/11/19
Rohit Sethi &lt;<a href="mailto:rklists@gmail.com" target="_blank">rklists@gmail.com</a>&gt;<o:p></o:p></p>

<div>

<div>

<div>

<div>

<blockquote style='border:none;border-left:solid windowtext 1.0pt;padding:0in 0in 0in 6.0pt;
margin-left:4.8pt;margin-top:5.0pt;margin-right:0in;margin-bottom:5.0pt;
border-color:-moz-use-text-color -moz-use-text-color -moz-use-text-color rgb(204, 204, 204)'>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>&nbsp;<o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>Dinis
et al, this project is very promising. Although I've known about<br>
O2 for a while now, today was the first time I actually installed the<br>
tool. Dinis, when you demonstrate the capabilities of O2 it's<br>
awe-inspiring, but I imagine many people feel the same way as I do<br>
when they actually install the tool: overwhelmed. I suggest you apply<br>
the principle of &quot;information hiding&quot; to the design of the
application<br>
- provide people with a basic, simple view of the application and give<br>
them the option to expand on more advanced features when needed. I<br>
have some ideas for you, but I'm ashamed to say I don't have the<br>
bandwidth to actually implement them :(<br>
<br>
A few specific suggestions:<br>
&#8226; &nbsp; &nbsp; &nbsp; Is there a public bug tracking system? If not this is an
invaluable<br>
tool to solicit feedback and track bugs on an ongoing basis. You<br>
should provide a link to the bug-tracker from the main OWASP O2 page<br>
<br>
&#8226; &nbsp; &nbsp; &nbsp; What was the rationale for creating a new GUI? In
particular, why<br>
didn&#8217;t you just piggyback off an existing, pluggable IDE like Eclipse?<br>
I'd guess the answer is because O2 is developed (I&#8217;m assuming) in .Net<br>
and probably through Visual Studio in order to facilitate GUI widget<br>
development. You&#8217;ve created a new look and feel which then requires<br>
the end user to understand the new look and feel in order to make<br>
sense of the application. Although I can appreciate the choice to go<br>
use .Net instead of Java, I wonder if copying some of the GUI<br>
conventions of Eclipse might be useful (more on this later). Note that<br>
I&#8217;m no usability expert, but I&#8217;d like to share my thoughts anyway. I<br>
would seriously suggest freezing new feature development for a while<br>
and focus on improving usability; once the application is easier to<br>
use, hopefully the user base will grow and so will the pool of<br>
developers willing to pitch in. In general try to minimize the amount<br>
of information in each dialogue box, and provide expandable, grouped<br>
advanced options.<br>
<br>
&#8226; &nbsp; &nbsp; &nbsp; I think O2 would be better served as one application
with various<br>
features and extensions, rather than a loosely coupled collection of<br>
modules. Not only will this help lower the learning curve to the<br>
application, it will help clarify the user interface. Going back to<br>
the Eclipse point, why not start with the concept of a &#8220;Project&#8221;? Each<br>
project relates to an individual application, and is comprised of<br>
several child elements. You can even have a Project Explorer /<br>
Navigation similar to what Eclipse has. Rather than dragging and<br>
dropping source files into different module windows, there should be<br>
one location of source files within the projects and the modules can<br>
reference those source files.<br>
Here&#8217;s an example of a potential Project structure:<br>
Project<br>
&nbsp; -Input<br>
&nbsp; &nbsp; &nbsp; -Scanner Results (e.g. .ozmat)<br>
&nbsp; &nbsp; &nbsp; -Source Files (e.g. .class, .xml)<br>
&nbsp; -Analysis<br>
&nbsp; &nbsp; &nbsp; -Findings (e.g. Ounce findings)<br>
&nbsp; &nbsp; &nbsp; -Rules (e.g. Ounce rules)<br>
&nbsp; &nbsp; &nbsp; -Scripts (e.g. Python, Java, C# scripts, etc.)<br>
&nbsp; &nbsp; &nbsp; -Intermediate Representation (e.g. CIR objects)<br>
<br>
&#8226; &nbsp; &nbsp; &nbsp; I appreciate the flexibility in offering discrete
modules of O2<br>
functionality; however, in its current format, I had a hard time<br>
distinguishing between which functions are &quot;Core O2 functions&quot; and<br>
what were really extensions. I suggest that you create a single GUI<br>
which users can identify as the &quot;O2 application&quot;. Similar to IDEs
like<br>
Eclipse, users could open the GUI and then select different views or<br>
perspectives based on the features they wish to use. Similarly, I<br>
suggest creating a single Windows installer that installs all Core O2<br>
functions along with the single GUI (e.g. Rules Manager, Join Traces,<br>
O2 Scripts, Findings Query, Findings Viewer, Findings Filter, Search<br>
Assessment Run, etc.). Provide an option for custom installation in<br>
case people want to scale down the features. Provide an interface to<br>
install &quot;extensions&quot; such as Spring MVC or support for CSharpScripts,<br>
etc.<br>
Here&#8217;s what I&#8217;d recommend for the top level menus of the Core O2 application:<br>
<br>
File<br>
&nbsp; -New /** starts a new project, perhaps with a wizard to help guide<br>
the user */<br>
&nbsp; -Open<br>
&nbsp; -Save<br>
&nbsp; --------<br>
&nbsp; -Import /** import findings from various scanners */<br>
&nbsp; ---------<br>
&nbsp; -Exit<br>
/** Get rid of restart modules - this might be a useful debugging<br>
concept but doesn't make sense to end users. Somebody should open and<br>
close the app if they need to do this */<br>
<br>
<br>
Edit<br>
&nbsp;-Cut<br>
&nbsp;-Copy<br>
&nbsp;-Paste<br>
&nbsp;-------<br>
&nbsp;-Configuration /** opens a dialog window with top level choices on<br>
the left and details on the right, similar to Eclipse Preferences */<br>
&nbsp; &nbsp; &nbsp;-File System /** Top level choice */<br>
&nbsp; &nbsp; &nbsp; &nbsp; -File Location<br>
&nbsp; &nbsp; &nbsp; &nbsp; -Install Directory<br>
&nbsp; &nbsp; &nbsp; &nbsp; -Temp Directory<br>
&nbsp; &nbsp; &nbsp; &nbsp; -Executable Directory<br>
&nbsp; &nbsp; &nbsp;-Module Specific /** One top level choice for each module
that<br>
requires configuraiton */<br>
&nbsp; &nbsp; &nbsp;-Advanced /** Top level choice */<br>
&nbsp; &nbsp; &nbsp; &nbsp; -(other configuration items from the KO2Config)<br>
/** Provide a radio button on the top to allow users to toggle between<br>
Main configuration and user-specific configuration */<br>
/** Provide standard Save and Cancel buttons on the bottom of the<br>
dialogue window */<br>
<br>
<br>
Modules /** Each should bring up a different dialog box */<br>
&nbsp; -Search<br>
&nbsp; -Rules Manager /** don't distinguish between XRules and other kinds<br>
of rules - this is confusing */<br>
&nbsp; -Log Viewer<br>
&nbsp; -Trace Joiner<br>
&nbsp; -Code Reflector<br>
&nbsp; -Script Editor /** should support &nbsp;C-Sharp, Python and Java */<br>
&nbsp; -Findings Manager /** includes Filter and Viewer */<br>
&nbsp; -Intermediate Representation Viewer &nbsp;/** or IR Viewer for short,<br>
rather than CIR since this is now platform agnostic */<br>
&nbsp; -Technology-Specific Modules<br>
&nbsp; &nbsp; &nbsp; -Spring MVC<br>
&nbsp; &nbsp; &nbsp; -.Net /**Should include the .Net debugger (the web server<br>
should be part of this functionality rather than a separate module),<br>
.Net Callbacks Maker */<br>
<br>
Windows /** no idea what functionality is supposed to be here */<br>
<br>
Help<br>
&nbsp;-Online Knowledgebase (or Wiki) /** Link to owasp site */<br>
&nbsp;-Request Help from O2 Developers<br>
&nbsp;-About /** include version, developers names and the email address<br>
to provide feedback, don&#8217;t need the Send Comment feature */<br>
<br>
&#8226; &nbsp; &nbsp; &nbsp; Do you really need the modules that allow people to run
the scanner<br>
from within O2? I argue this causes too much confusion for it&#8217;s actual<br>
value<br>
&#8226; &nbsp; &nbsp; &nbsp; If you use the above-suggested layout, Web Inspect
Converter and<br>
other Blackbox scanner import tools should be Wizards to import data<br>
into a project&#8217;s Scanner Results rather than new modules<br>
<br>
Cheers,<br>
<span style='color:#888888'><br>
--<br>
Rohit Sethi<br>
Security Compass<br>
<a href="http://www.securitycompass.com" target="_blank">http://www.securitycompass.com</a><br>
_______________________________________________<br>
Owasp-o2-platform mailing list<br>
<a href="mailto:Owasp-o2-platform@lists.owasp.org" target="_blank">Owasp-o2-platform@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-o2-platform"
target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-o2-platform</a></span><o:p></o:p></p>

</blockquote>

</div>

</div>

</div>

</div>

</div>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='color:#888888'><br>
<br clear=all>
<br>
-- <br>
<br>
Dinis Cruz<br>
<br>
Blog: <a href="http://diniscruz.blogspot.com" target="_blank">http://diniscruz.blogspot.com</a><br>
Twitter: <a href="http://twitter.com/DinisCruz" target="_blank">http://twitter.com/DinisCruz</a><br>
Web: <a href="http://www.owasp.org/index.php/O2" target="_blank">http://www.owasp.org/index.php/O2</a></span><o:p></o:p></p>

<div>

<p class=MsoNormal style='mso-margin-top-alt:auto;margin-bottom:12.0pt'><br>
_______________________________________________<br>
Owasp-o2-platform mailing list<br>
<a href="mailto:Owasp-o2-platform@lists.owasp.org" target="_blank">Owasp-o2-platform@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-o2-platform"
target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-o2-platform</a><o:p></o:p></p>

</div>

</div>

<p class=MsoNormal style='mso-margin-top-alt:auto;margin-bottom:12.0pt'><br>
<br>
_______________________________________________<br>
Owasp-o2-platform mailing list<br>
<a href="mailto:Owasp-o2-platform@lists.owasp.org" target="_blank">Owasp-o2-platform@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-o2-platform"
target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-o2-platform</a><o:p></o:p></p>

</div>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>&nbsp;<o:p></o:p></p>

</div>

</div>

</div>

</div>

</blockquote>

</div>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>&nbsp;<o:p></o:p></p>

</div>

</div>

</div>

</div>

</div>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>&nbsp;<o:p></o:p></p>

</div>

</div>

</div>

</div>

</div>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>&nbsp;<o:p></o:p></p>

</div>

</div>

</div>

</div>

</div>

<p class=MsoNormal><o:p>&nbsp;</o:p></p>

</div>

</body>

</html>