<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META content="text/html; charset=us-ascii" http-equiv=Content-Type>
<META name=GENERATOR content="MSHTML 8.00.6001.18828"></HEAD>
<BODY>
<DIV dir=ltr align=left><SPAN class=151563118-19112009><FONT 
face="Book Antiqua">PCI and whatnot should realize that what they really need to 
do is to reference ASVS, now that ASVS exists.</FONT></SPAN></DIV>
<DIV align=left><FONT face="Book Antiqua"></FONT>&nbsp;</DIV>
<DIV align=left><FONT face="Book Antiqua">Mike&nbsp;<SPAN 
class=760305716-15062009>B.</SPAN></FONT></DIV>
<DIV>&nbsp;</DIV><BR>
<DIV dir=ltr lang=en-us class=OutlookMessageHeader align=left>
<HR tabIndex=-1>
<FONT size=2 face=Tahoma><B>From:</B> owasp-topten-bounces@lists.owasp.org 
[mailto:owasp-topten-bounces@lists.owasp.org] <B>On Behalf Of </B>Dave 
Ockwell-Jenner<BR><B>Sent:</B> Thursday, November 19, 2009 1:27 PM<BR><B>To:</B> 
owasp-topten@lists.owasp.org<BR><B>Subject:</B> Re: [Owasp-topten] RFI taken 
out<BR></FONT><BR></DIV>
<DIV></DIV>On Wed, 2009-11-18 at 10:00 -0700, Andre Gironda wrote:<BR><BR>[snip] 

<BLOCKQUOTE TYPE="CITE"><PRE>
OWASP T10 is mostly a marketing tool. What SANS/CWE Top 25 and many
other marketing tools don't show is that the problems aren't meant to
be solved one-at-a-time. One vulnerability isn't as "prevalent" or
"severe" as any other, especially because multiple vulnerabilities are
almost always present in any given large web application.

</PRE></BLOCKQUOTE>It might be most a marketing tool, but don't forget that it's 
referenced in the PCI requirements (effectively co-opting the OWASP Top 10 into 
that set of requirements). Those requirements drive huge decisions (and impact) 
for businesses.<BR><BR>I recognize that the OWASP Top 10 should be shaped with 
this as a constraint, but it's certainly a 
consideration.<BR><BR>Cheers,<BR>Dave. </BODY></HTML>