<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META content="text/html; charset=us-ascii" http-equiv=Content-Type>
<META name=GENERATOR content="MSHTML 8.00.6001.18828"></HEAD>
<BODY>
<DIV dir=ltr align=left><SPAN class=679514217-06012010><FONT 
face="Book Antiqua">The goal in my mind should make it obvious by inspection how 
numbers in any given document relate back to the ASVS, and for e.g. the testing 
guide, make it obvious by inspection how it relates back to the existing TG 
numbering.</FONT></SPAN></DIV>
<DIV align=left><FONT face="Book Antiqua"></FONT>&nbsp;</DIV>
<DIV align=left><FONT face="Book Antiqua">Mike&nbsp;<SPAN 
class=760305716-15062009>B.</SPAN></FONT></DIV>
<DIV>&nbsp;</DIV><BR>
<DIV dir=ltr lang=en-us class=OutlookMessageHeader align=left>
<HR tabIndex=-1>
<FONT size=2 face=Tahoma><B>From:</B> eoinkeary@gmail.com 
[mailto:eoinkeary@gmail.com] <B>On Behalf Of </B>Eoin<BR><B>Sent:</B> Wednesday, 
January 06, 2010 12:40 PM<BR><B>To:</B> Boberski, Michael [USA]<BR><B>Cc:</B> 
Dave Wichers; Brad Causey; owasp-testing@lists.owasp.org; 
owasp-topten@lists.owasp.org; 
owasp-application-security-verification-standard@lists.owasp.org<BR><B>Subject:</B> 
Re: [Owasp-testing] Common numbering scheme/convention (formerly "top 10 &amp; 
testing guide" thread)<BR></FONT><BR></DIV>
<DIV></DIV>So we'll have OWASP TG and CRG refs + ASVS refs also?<BR><BR><BR>
<DIV class=gmail_quote>2010/1/6 Boberski, Michael [USA] <SPAN dir=ltr>&lt;<A 
href="mailto:boberski_michael@bah.com">boberski_michael@bah.com</A>&gt;</SPAN><BR>
<BLOCKQUOTE 
style="BORDER-LEFT: rgb(204,204,204) 1px solid; MARGIN: 0pt 0pt 0pt 0.8ex; PADDING-LEFT: 1ex" 
class=gmail_quote>
  <DIV>
  <DIV dir=ltr align=left><SPAN><FONT face="Book Antiqua">Nothing. But, the 
  proposal is to align numbering schemes, using ASVS as the common 
  denominator.</FONT></SPAN></DIV><SPAN>
  <DIV dir=ltr align=left><BR><FONT face="Book Antiqua"><SPAN>From </SPAN>Dave's 
  email below:</FONT></DIV>
  <DIV class=im>
  <DIV dir=ltr align=left><FONT face="Book Antiqua"></FONT>&nbsp;</DIV>
  <DIV dir=ltr align=left><SPAN 
  style="COLOR: rgb(31,73,125); FONT-SIZE: 11pt"><FONT face="Book Antiqua">OWASP 
  is just starting a synchronization effort between the Top 10, ASVS, and all 
  the Guides. We are trying to use the ASVS requirements as the baseline and 
  then developing the dev guide and testing guide and code review against that 
  outline.&nbsp; However, we don&#8217;t want to wreck what you guys have been doing 
  with the testing guide #&#8217;s</FONT></SPAN></DIV></DIV></SPAN></DIV>
  <DIV align=left><FONT face="Book Antiqua"></FONT>&nbsp;</DIV>
  <DIV align=left><FONT 
  face="Book Antiqua">Mike&nbsp;<SPAN>B.</SPAN></FONT></DIV>
  <DIV>&nbsp;</DIV><BR>
  <DIV dir=ltr lang=en-us align=left>
  <HR>
  <FONT size=2 face=Tahoma><B>From:</B> <A href="mailto:eoinkeary@gmail.com" 
  target=_blank>eoinkeary@gmail.com</A> [mailto:<A 
  href="mailto:eoinkeary@gmail.com" target=_blank>eoinkeary@gmail.com</A>] <B>On 
  Behalf Of </B>Eoin<BR><B>Sent:</B> Wednesday, January 06, 2010 12:36 
  PM<BR><B>To:</B> Boberski, Michael [USA]<BR><B>Cc:</B> Dave Wichers; Brad 
  Causey; <A href="mailto:owasp-testing@lists.owasp.org" 
  target=_blank>owasp-testing@lists.owasp.org</A>; <A 
  href="mailto:owasp-topten@lists.owasp.org" 
  target=_blank>owasp-topten@lists.owasp.org</A>; <A 
  href="mailto:owasp-application-security-verification-standard@lists.owasp.org" 
  target=_blank>owasp-application-security-verification-standard@lists.owasp.org</A><BR><B>Subject:</B> 
  Re: [Owasp-testing] Common numbering scheme/convention (formerly "top 10 &amp; 
  testing guide" thread)<BR></FONT><BR></DIV>
  <DIV>
  <DIV></DIV>
  <DIV class=h5>
  <DIV></DIV>Whats wrong with the Testing guide convention?<BR>I am planning to 
  correlate the CRG with this convention.<BR><BR>-ek<BR><BR>
  <DIV class=gmail_quote>2010/1/6 Boberski, Michael [USA] <SPAN dir=ltr>&lt;<A 
  href="mailto:boberski_michael@bah.com" 
  target=_blank>boberski_michael@bah.com</A>&gt;</SPAN><BR>
  <BLOCKQUOTE 
  style="BORDER-LEFT: rgb(204,204,204) 1px solid; MARGIN: 0pt 0pt 0pt 0.8ex; PADDING-LEFT: 1ex" 
  class=gmail_quote>
    <DIV lang=EN-US link="blue" vlink="purple">
    <DIV dir=ltr align=left><SPAN><FONT face="Book Antiqua">Hi Brad. I'm game 
    for figuring out a common identifier scheme/convention, ideally before the 
    end of the month or so, which is the current ETA to putting out a call for 
    contributors to work on the next rev of the dev guide, which as Dave 
    mentioned will be reorganized according to ASVS.</FONT></SPAN></DIV>
    <DIV dir=ltr align=left><SPAN><FONT 
    face="Book Antiqua"></FONT></SPAN>&nbsp;</DIV>
    <DIV dir=ltr align=left><SPAN><FONT face="Book Antiqua">Maybe a first step 
    is to take a look at this: <A 
    href="http://code.google.com/p/owasp-development-guide/wiki/Introduction?tm=6" 
    target=_blank>http://code.google.com/p/owasp-development-guide/wiki/Introduction?tm=6</A>&nbsp; 
    </FONT></SPAN><SPAN><FONT face="Book Antiqua">I just replaced the ASVS' "A#" 
    with "D#" but kept the title.&nbsp; The "D#" is a Mike-ism/first cut at a 
    dev guide numbering scheme, so 100% open to working with you on this, since 
    obviously the thought crossed my mind something had to be figured out. We're 
    also in the early stages of planning a next release of ASVS as Dave alludes 
    to below as well, so now's a good time to talk about this, i.e. we could 
    potentially also markup <A 
    href="http://code.google.com/p/owasp-asvs/wiki/ASVS?tm=6" 
    target=_blank>http://code.google.com/p/owasp-asvs/wiki/ASVS?tm=6</A>&nbsp; 
    in a similar fashion.</FONT></SPAN></DIV>
    <DIV dir=ltr align=left><SPAN><FONT 
    face="Book Antiqua"></FONT></SPAN>&nbsp;</DIV>
    <DIV dir=ltr align=left><SPAN><FONT face="Book Antiqua">Based on your email 
    below, I generally think we should have a major/minor kinda scheme that 
    starts with ASVS and goes to whatever:</FONT></SPAN></DIV>
    <DIV dir=ltr align=left><SPAN><FONT 
    face="Book Antiqua"></FONT></SPAN>&nbsp;</DIV>
    <DIV dir=ltr align=left><SPAN><FONT 
    face="Book Antiqua">OWASP-V[1-14]-[1-n,A,D,T,other]-[1-m,A,D,T,other]</FONT></SPAN></DIV>
    <DIV dir=ltr align=left><SPAN><FONT 
    face="Book Antiqua"></FONT></SPAN>&nbsp;</DIV>
    <DIV dir=ltr align=left><SPAN><FONT face="Book Antiqua">i.e., as if one were 
    expanding a tree control that when one got to a detailed verification 
    requirement, would then have children nodes for e.g. development guide, 
    testing guide, perhaps threats that the requirements map to like 
    T10/CWE/WASC.</FONT></SPAN></DIV>
    <DIV dir=ltr align=left><SPAN><FONT 
    face="Book Antiqua"></FONT></SPAN>&nbsp;</DIV>
    <DIV dir=ltr align=left><SPAN><FONT face="Book Antiqua">Let me know your 
    thoughts, the above is just a first proposal, I may not be understanding 
    what you need. We can use the above dev guide wiki to flesh this out, see 
    how much things make sense as we go, thing look different from email/paper 
    to clickable trees/widgets.</FONT></SPAN></DIV>
    <DIV dir=ltr align=left><SPAN><FONT 
    face="Book Antiqua"></FONT></SPAN>&nbsp;</DIV>
    <DIV dir=ltr align=left><SPAN><FONT 
    face="Book Antiqua">Best,</FONT></SPAN></DIV>
    <DIV align=left><FONT face="Book Antiqua"></FONT>&nbsp;</DIV>
    <DIV align=left><FONT 
    face="Book Antiqua">Mike&nbsp;<SPAN>B.</SPAN></FONT></DIV>
    <DIV><FONT face="Book Antiqua"></FONT>&nbsp;</DIV><BR>
    <DIV dir=ltr lang=en-us align=left>
    <HR>
    <FONT size=2 face=Tahoma><B>From:</B> <A 
    href="mailto:owasp-topten-bounces@lists.owasp.org" 
    target=_blank>owasp-topten-bounces@lists.owasp.org</A> [mailto:<A 
    href="mailto:owasp-topten-bounces@lists.owasp.org" 
    target=_blank>owasp-topten-bounces@lists.owasp.org</A>] <B>On Behalf Of 
    </B>Dave Wichers<BR><B>Sent:</B> Wednesday, January 06, 2010 12:34 
    AM<BR><B>To:</B> Brad Causey; <A href="mailto:owasp-testing@lists.owasp.org" 
    target=_blank>owasp-testing@lists.owasp.org</A>; <A 
    href="mailto:owasp-topten@lists.owasp.org" 
    target=_blank>owasp-topten@lists.owasp.org</A><BR><B>Cc:</B> <A 
    href="mailto:mike.boberski@gmail.com" 
    target=_blank>mike.boberski@gmail.com</A><BR><B>Subject:</B> Re: 
    [Owasp-topten] top 10 &amp; testing guide<BR></FONT><BR></DIV>
    <DIV></DIV>
    <DIV>
    <P class=MsoNormal><SPAN 
    style="COLOR: rgb(31,73,125); FONT-SIZE: 11pt">Brad,</SPAN></P>
    <P class=MsoNormal><SPAN 
    style="COLOR: rgb(31,73,125); FONT-SIZE: 11pt"></SPAN>&nbsp;</P>
    <P class=MsoNormal><SPAN 
    style="COLOR: rgb(31,73,125); FONT-SIZE: 11pt">OWASP is just starting a 
    synchronization effort between the Top 10, ASVS, and all the Guides. We are 
    trying to use the ASVS requirements as the baseline and then developing the 
    dev guide and testing guide and code review against that outline.&nbsp; 
    However, we don&#8217;t want to wreck what you guys have been doing with the 
    testing guide #&#8217;s</SPAN></P>
    <P class=MsoNormal><SPAN 
    style="COLOR: rgb(31,73,125); FONT-SIZE: 11pt"></SPAN>&nbsp;</P>
    <P class=MsoNormal><SPAN style="COLOR: rgb(31,73,125); FONT-SIZE: 11pt">Mike 
    Boberski is working with Andrew van der Stock to launch an update effort to 
    the Dev Guide. Can you work with Mike so he understands how you are using 
    the OWASP finding #&#8217;s to see if we can move forward in a way that is not 
    massively disruptive? Mike may not even be aware of the testing guide 
    numbering scheme.</SPAN></P>
    <P class=MsoNormal><SPAN 
    style="COLOR: rgb(31,73,125); FONT-SIZE: 11pt"></SPAN>&nbsp;</P>
    <P class=MsoNormal><SPAN style="COLOR: rgb(31,73,125); FONT-SIZE: 11pt">And 
    we can also make sure that the dev guide covers everything you think needs 
    to be covered (which hopefully already is covered in ASVS), and if not, 
    maybe it needs to be updated too.</SPAN></P>
    <P class=MsoNormal><SPAN 
    style="COLOR: rgb(31,73,125); FONT-SIZE: 11pt"></SPAN>&nbsp;</P>
    <P class=MsoNormal><SPAN 
    style="COLOR: rgb(31,73,125); FONT-SIZE: 11pt">-Dave</SPAN></P>
    <P class=MsoNormal><SPAN 
    style="COLOR: rgb(31,73,125); FONT-SIZE: 11pt"></SPAN>&nbsp;</P>
    <DIV 
    style="BORDER-BOTTOM: medium none; BORDER-LEFT: medium none; PADDING-BOTTOM: 0in; PADDING-LEFT: 0in; PADDING-RIGHT: 0in; BORDER-TOP: rgb(181,196,223) 1pt solid; BORDER-RIGHT: medium none; PADDING-TOP: 3pt">
    <P class=MsoNormal><B><SPAN style="FONT-SIZE: 10pt">From:</SPAN></B><SPAN 
    style="FONT-SIZE: 10pt"> <A 
    href="mailto:owasp-topten-bounces@lists.owasp.org" 
    target=_blank>owasp-topten-bounces@lists.owasp.org</A> [mailto:<A 
    href="mailto:owasp-topten-bounces@lists.owasp.org" 
    target=_blank>owasp-topten-bounces@lists.owasp.org</A>] <B>On Behalf Of 
    </B>Brad Causey<BR><B>Sent:</B> Tuesday, January 05, 2010 8:59 
    PM<BR><B>To:</B> <A href="mailto:owasp-testing@lists.owasp.org" 
    target=_blank>owasp-testing@lists.owasp.org</A>; <A 
    href="mailto:owasp-topten@lists.owasp.org" 
    target=_blank>owasp-topten@lists.owasp.org</A><BR><B>Subject:</B> 
    [Owasp-topten] top 10 &amp; testing guide</SPAN></P></DIV>
    <P class=MsoNormal>&nbsp;</P>
    <P class=MsoNormal>First of all, sorry for the x-posting, but it seemed 
    appropriate.<BR><BR>For those of you that don't know, I work in the 
    financial sector and developed our organization's WAS testing procedures, 
    documentation, and probably 80% of our whole WAS program from OWASP 
    materials. Great stuff.<BR><BR>As matter of fact, each of our analysts has a 
    LULU printed copy of the testing guide on their desks. When we write reports 
    up, we use the OWASP-XX-XX as our classification mapping. For 
    example:<BR><BR>Finding 1 - rXSS - OWASP-DV-001 - hxxp://<A 
    href="http://www.vulnsite.com?msg=" 
    target=_blank>www.vulnsite.com?msg=</A>&lt;blah blah, you get it&gt; - 
    screenshot1.png<BR><BR>When we write our long form reports, we use the text 
    from the testing guide. It has really proven great for us and we've been 
    doing this since v2 came out. In addition, we have previously used the top 
    ten literature as supplementary in proving higher risk, higher priority 
    items. That has worked great until now.....<BR><BR>A8 on the RC version of 
    the Top Ten throws a nice shiny wrench into it all. Reason being, there 
    isn't a corresponding OWASP-xx-xx classification that matches up to A8. Now 
    I've been writing A8 up for some time, but it never had a nice-neat home in 
    any of the Testing guide classifications.<BR><BR>Now that I've gotten past 
    all that. I'd like to maybe discuss how, possibly in the future, the two 
    projects could be somewhat more in sync. I'm not sure there is a good way to 
    do that today, but it sure makes sense in my mind that all owaspy stuff have 
    some overlap, and should avoid gaps such as the A8 vs OWASP-XX-XX situation. 
    <BR><BR>Also I see some gaps here:<BR><BR><A 
    href="http://2.bp.blogspot.com/_JdybrokZBAk/S0Nt5DVYHWI/AAAAAAAABvU/HXQSzzoRJu0/s1600-h/WASC.png" 
    target=_blank>http://2.bp.blogspot.com/_JdybrokZBAk/S0Nt5DVYHWI/AAAAAAAABvU/HXQSzzoRJu0/s1600-h/WASC.png</A><BR><BR>That 
    aren't covered in any OWASP documentation, and should be. I'd like to get 
    everyones' thoughts, and probably flames, on this stuff.<BR><BR><BR><BR 
    clear=all>-Brad Causey<BR>CISSP, MCSE, C|EH, CIFI, CGSP<BR><BR><A 
    href="http://www.owasp.org" 
    target=_blank>http://www.owasp.org</A><BR>--<BR>Never underestimate the 
    time, expense, and effort an opponent will expend to break a code. (Robert 
    Morris)<BR><FONT 
    color=#888888>--</FONT></P></DIV></DIV><BR>_______________________________________________<BR>Owasp-testing 
    mailing list<BR><A href="mailto:Owasp-testing@lists.owasp.org" 
    target=_blank>Owasp-testing@lists.owasp.org</A><BR><A 
    href="https://lists.owasp.org/mailman/listinfo/owasp-testing" 
    target=_blank>https://lists.owasp.org/mailman/listinfo/owasp-testing</A><BR><BR></BLOCKQUOTE></DIV><BR><BR 
  clear=all><BR>-- <BR>Eoin Keary<BR>OWASP Global Board Member<BR>OWASP Code 
  Review Guide Lead Author<BR><BR><A href="http://asg.ie/" 
  target=_blank>http://asg.ie/</A><BR><A href="https://twitter.com/EoinKeary" 
  target=_blank>https://twitter.com/EoinKeary</A><BR></DIV></DIV></BLOCKQUOTE></DIV><BR><BR 
clear=all><BR>-- <BR>Eoin Keary<BR>OWASP Global Board Member<BR>OWASP Code 
Review Guide Lead Author<BR><BR><A 
href="http://asg.ie/">http://asg.ie/</A><BR><A 
href="https://twitter.com/EoinKeary">https://twitter.com/EoinKeary</A><BR></BODY></HTML>