<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <meta content="text/html;charset=ISO-8859-1" http-equiv="Content-Type">
</head>
<body bgcolor="#ffffff" text="#000000">
To the best of my knowledge it has. Although I've seen no press about
it, the OWASP home page still points to the old page, etc... Someone on
this list should be able to answer definitively.<br>
<br>
- Neil<br>
<br>
<br>
Kasey Cross wrote:
<blockquote
 cite="mid:9FF43BA408CE4042A41F3C33BFDFA45D0367EC77@exchange-ca.us.imperva.com"
 type="cite">
  <meta http-equiv="Content-Type" content="text/html; ">
  <meta name="Generator" content="Microsoft Word 11 (filtered medium)">
<!--[if !mso]>
<style>
v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
</style>
<![endif]--><o:SmartTagType
 namespaceuri="urn:schemas-microsoft-com:office:smarttags"
 name="PlaceType">
  <o:SmartTagType
 namespaceuri="urn:schemas-microsoft-com:office:smarttags"
 name="PlaceName"><o:SmartTagType
 namespaceuri="urn:schemas-microsoft-com:office:smarttags" name="place"
 downloadurl="http://www.5iantlavalamp.com/">
<!--[if !mso]>
<style>
st1\:*{behavior:url(#default#ieooui) }
</style>
<![endif]-->
  <style>
<!--
 /* Font Definitions */
 @font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
 /* Style Definitions */
 p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman";
        color:black;}
a:link, span.MsoHyperlink
        {color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {color:blue;
        text-decoration:underline;}
span.EmailStyle18
        {mso-style-type:personal-reply;
        font-family:Arial;
        color:navy;}
@page Section1
        {size:8.5in 11.0in;
        margin:1.0in 1.25in 1.0in 1.25in;}
div.Section1
        {page:Section1;}
-->
  </style><!--[if gte mso 9]><xml>
 <o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
 <o:shapelayout v:ext="edit">
  <o:idmap v:ext="edit" data="1" />
 </o:shapelayout></xml><![endif]-->
  </o:SmartTagType></o:SmartTagType></o:SmartTagType>
  <div class="Section1">
  <p class="MsoNormal"><font color="navy" face="Arial" size="2"><span
 style="font-size: 10pt; font-family: Arial; color: navy;">Hi Neil,<o:p></o:p></span></font></p>
  <p class="MsoNormal"><font color="navy" face="Arial" size="2"><span
 style="font-size: 10pt; font-family: Arial; color: navy;"><o:p>&nbsp;</o:p></span></font></p>
  <p class="MsoNormal"><font color="navy" face="Arial" size="2"><span
 style="font-size: 10pt; font-family: Arial; color: navy;">I wanted to
verify that the OWASP Top 10
2007 has been officially published (and is no longer a release
candidate). It
is identified as being in release candidate phase on <a
 moz-do-not-send="true"
 href="http://www.owasp.org/index.php/OWASP_Top_Ten_Project#OWASP_Top_10_2007">http://www.owasp.org/index.php/OWASP_Top_Ten_Project#OWASP_Top_10_2007</a>.<o:p></o:p></span></font></p>
  <p class="MsoNormal"><font color="navy" face="Arial" size="2"><span
 style="font-size: 10pt; font-family: Arial; color: navy;"><o:p>&nbsp;</o:p></span></font></p>
  <p class="MsoNormal"><font color="navy" face="Arial" size="2"><span
 style="font-size: 10pt; font-family: Arial; color: navy;">Thanks!<o:p></o:p></span></font></p>
  <p class="MsoNormal"><font color="navy" face="Arial" size="2"><span
 style="font-size: 10pt; font-family: Arial; color: navy;">Kasey<o:p></o:p></span></font></p>
  <p class="MsoNormal"><font color="navy" face="Arial" size="2"><span
 style="font-size: 10pt; font-family: Arial; color: navy;"><o:p>&nbsp;</o:p></span></font></p>
  <div>
  <div class="MsoNormal" style="text-align: center;" align="center"><font
 color="black" face="Times New Roman" size="3"><span
 style="font-size: 12pt; color: windowtext;">
  <hr tabindex="-1" align="center" size="2" width="100%"></span></font></div>
  <p class="MsoNormal"><b><font color="black" face="Tahoma" size="2"><span
 style="font-size: 10pt; font-family: Tahoma; color: windowtext; font-weight: bold;">From:</span></font></b><font
 color="black" face="Tahoma" size="2"><span
 style="font-size: 10pt; font-family: Tahoma; color: windowtext;">
<a class="moz-txt-link-abbreviated" href="mailto:owasp-topten-bounces@lists.owasp.org">owasp-topten-bounces@lists.owasp.org</a>
[<a class="moz-txt-link-freetext" href="mailto:owasp-topten-bounces@lists.owasp.org">mailto:owasp-topten-bounces@lists.owasp.org</a>] <b><span
 style="font-weight: bold;">On
Behalf Of </span></b>Neil Smithline<br>
  <b><span style="font-weight: bold;">Sent:</span></b> Sunday, May 13,
2007 11:09
AM<br>
  <b><span style="font-weight: bold;">To:</span></b> Dinis Cruz<br>
  <b><span style="font-weight: bold;">Cc:</span></b> Sebastien
Deleersnyder; <st1:place w:st="on"><st1:PlaceName w:st="on">HyungKeun</st1:PlaceName>
  <st1:PlaceType w:st="on">Park</st1:PlaceType></st1:place>; Dave
Wichers; Jeff Williams;
<a class="moz-txt-link-abbreviated" href="mailto:dinis.cruz@owasp.net">dinis.cruz@owasp.net</a>; <a class="moz-txt-link-abbreviated" href="mailto:owasp-topten@lists.owasp.org">owasp-topten@lists.owasp.org</a><br>
  <b><span style="font-weight: bold;">Subject:</span></b> Re:
[Owasp-topten]
keeping the .doc and .pdf file up to date</span></font><font
 color="black"><span style="color: windowtext;"><o:p></o:p></span></font></p>
  </div>
  <p class="MsoNormal"><font color="black" face="Times New Roman"
 size="3"><span style="font-size: 12pt;"><o:p>&nbsp;</o:p></span></font></p>
  <p class="MsoNormal"><font color="black" face="Times New Roman"
 size="3"><span style="font-size: 12pt;">I think that is an excellent
idea Dinis!<br>
  <br>
I propose that we make the PDF non-writable to the public and add a
note to the
Wiki version that the "official" version is the PDF and, while the
Wiki version may be newer it has not been as stringently edited as the
official
version.<br>
  <br>
Then, borrowing on Dave's idea, we can, if we wish, do occasional
updates to
the PDF and rev them giving names like "OWASP Top Ten 2007
Vulnerabilities,
Revision 2". These revs would contain corrections, perhaps changes to
the
Protection sections of the vulnerabilities as new techniques for
bypassing the
protections and new protections come into place, etc... We could then
save
major revs (ie: changing the year of the doc) for when we go back to
CVE and
change the vulnerabilities. (I tend to get ahead of myself, don't sweat
it, I'm
just throwing out ideas for later.)<br>
  <br>
Before we archive the doc, I'd like to feed some changes into it. They
do not affect
the appearance of the document. They merely change some underlying
formatting
to make my wikifier script work better (eg: different editors used
different
strategies to do bulleted lists, some used Word's bullet feature and
others
inserted bullets manually). This can be done after we go live as we
have
decided not to publish the Word document.<br>
  <br>
- Neil<br>
  <br>
Dinis Cruz wrote: <o:p></o:p></span></font></p>
  <p class="MsoNormal" style="margin-bottom: 12pt;"><font color="black"
 face="Times New Roman" size="3"><span style="font-size: 12pt;">Agreed,
  <br>
  <br>
The pdf should be the 'official release' and the WIKI should be work in
progress of the next version. (we might want to highlight major changes
to the
content).<br>
  <br>
That said if there start to be a lot of edits (which I doubt) it might
be
required to move the 'next version development' to a new section. <br>
  <br>
Dinis<o:p></o:p></span></font></p>
  <div>
  <p class="MsoNormal"><span class="gmailquote"><font color="black"
 face="Times New Roman" size="3"><span style="font-size: 12pt;">On
5/13/07, <b><span style="font-weight: bold;">Dave Wichers</span></b>
&lt;<a href="mailto:dave.wichers@owasp.org" moz-do-not-send="true">dave.wichers@owasp.org</a>&gt;
wrote:</span></font></span> <o:p></o:p></p>
  <p class="MsoNormal" style="margin-bottom: 12pt;"><font color="black"
 face="Times New Roman" size="3"><span style="font-size: 12pt;">I think
we should post
the initial PDF and then just leave it there, with<br>
possibly an occasional update.<br>
  <br>
-Dave<br>
  <br>
-----Original Message-----<br>
From: <a href="mailto:owasp-topten-bounces@lists.owasp.org"
 moz-do-not-send="true">owasp-topten-bounces@lists.owasp.org </a><br>
[mailto:<a href="mailto:owasp-topten-bounces@lists.owasp.org"
 moz-do-not-send="true">owasp-topten-bounces@lists.owasp.org</a>] On
Behalf Of
Neil Smithline<br>
Sent: Saturday, May 12, 2007 10:20 PM<br>
To: Dave Wichers<br>
Cc: 'Sebastien Deleersnyder'; '<st1:place w:st="on"><st1:PlaceName
 w:st="on">HyungKeun</st1:PlaceName> <st1:PlaceType w:st="on">Park</st1:PlaceType></st1:place>';
'Jeff Williams'; <br>
  <a href="mailto:dinis.cruz@owasp.net" moz-do-not-send="true">dinis.cruz@owasp.net</a>;
  <a href="mailto:owasp-topten@lists.owasp.org" moz-do-not-send="true">owasp-topten@lists.owasp.org</a><br>
Subject: Re: [Owasp-topten] keeping the .doc and .pdf file up to date<br>
  <br>
Just to play counterpoint (if you had said not keep it around I would<br>
have gone with the keep it due to printing concerns as you did), I'm<br>
concerned there will be differences, keeping track of the master may be
  <br>
difficult as the master might end up part Wiki and part .doc, the<br>
Wikipedia doesn't have ways to print out articles and they get by, there<br>
is a chart that is really what you need to print out and keep on your <br>
wall, that is on one page, etc...<br>
  <br>
If we decide to go with the online doc, I'd prefer to only go PDF. .doc<br>
files have had just too many vulnerabilities in them. That would also<br>
stop people from modifying the file as PDF is typically an output-only <br>
format and not edited.<br>
  <br>
My take is that if we can figure out some way to easily print the Wiki,<br>
we go with nothing online. If we can't figure that out, we go with just<br>
the PDF.<br>
  <br>
- Neil<br>
  <br>
Dave Wichers wrote: <br>
&gt; My opinion is that we should keep it available as people will want
to be<br>
&gt; able to download a document that is the latest OWASP Top 10. We
could<br>
update<br>
&gt; the document periodically, like once every six months or
something. <br>
&gt;<br>
&gt; -Dave<br>
&gt;<br>
&gt; -----Original Message-----<br>
&gt; From: Neil Smithline [mailto:<a
 href="mailto:owasp-topten@smithline.net" moz-do-not-send="true">owasp-topten@smithline.net</a>]<br>
&gt; Sent: Saturday, May 12, 2007 9:40 PM <br>
&gt; To: Andrew van der Stock<br>
&gt; Cc: Sebastien Deleersnyder; <st1:place w:st="on"><st1:PlaceName
 w:st="on">HyungKeun</st1:PlaceName> <st1:PlaceType w:st="on">Park</st1:PlaceType></st1:place>;
Dave Wichers; Jeff
Williams;<br>
&gt; <a href="mailto:dinis.cruz@owasp.net" moz-do-not-send="true">dinis.cruz@owasp.net</a>;
  <a href="mailto:owasp-topten@lists.owasp.org" moz-do-not-send="true">owasp-topten@lists.owasp.org</a><br>
&gt; Subject: Re: keeping the .doc and .pdf file up to date<br>
&gt;<br>
&gt; What is the plans for the .doc and .pdf file once the Wiki goes
live.<br>
&gt; They will get stale very quickly. Are we going to leave them on
the site <br>
&gt; for download or not? I'm thinking it might be better if we didn't
so<br>
&gt; that we have only a single master copy. I think this is what we
decided<br>
&gt; once before but I want to confirm.<br>
&gt;<br>
&gt; - Neil <br>
&gt;<br>
&gt;<br>
&gt;<br>
_______________________________________________<br>
Owasp-topten mailing list<br>
  <a href="mailto:Owasp-topten@lists.owasp.org" moz-do-not-send="true">Owasp-topten@lists.owasp.org</a><br>
  <a href="https://lists.owasp.org/mailman/listinfo/owasp-topten"
 moz-do-not-send="true">https://lists.owasp.org/mailman/listinfo/owasp-topten</a><o:p></o:p></span></font></p>
  </div>
  <p class="MsoNormal"><font color="black" face="Times New Roman"
 size="3"><span style="font-size: 12pt;"><br>
  <br clear="all">
  <br>
-- <br>
Dinis Cruz<br>
Chief OWASP Evangelist, Are you a member yet?<br>
  <a href="http://www.owasp.org" moz-do-not-send="true">http://www.owasp.org
  </a><o:p></o:p></span></font></p>
  </div>
</blockquote>
</body>
</html>