<div dir="ltr"><div><div><div><div><div><div><div><div>Another concern I have is the transparency of this project.<br></div>Who made the decisions? Was it a couple of individuals? A team? <br>And on what basis were the decisions made?</div><div><br></div>I'm not criticizing how it was done, partly because it seems to be very opaque :) I've certainly not seen any meaningful discussions about the doc on this list before the RC1 was released.<br></div>And I'm not suggesting it actually needs to be changed, eg by putting it to a common vote either - that brings its own set of problems ;)<br></div>However the categories and ordering (still) look to me to be very subjective. There may well be data behind them but its the interpretation that is key.<br></div>I think that a document explaining the process and thoughts behind the interpretation would really help - I dont think its needs to be in the Top 10 doc but I think this info should be there for those of us who care about it. I also want to see a summary of the data collected.<br></div>How can we review any of the RCs if we dont understand on what basis they were created?<br><br></div>Cheers,<br><br></div>Simon<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Apr 12, 2017 at 8:31 AM, psiinon <span dir="ltr"><<a href="mailto:psiinon@gmail.com" target="_blank">psiinon@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div><div>As per Jeremiah's tweet <a href="https://twitter.com/jeremiahg/status/851562562634137600" target="_blank">https://twitter.com/jeremiahg/<wbr>status/851562562634137600</a> I think one of the biggest security risks to any medium-large organization is unknown sites / applications and functionality.<br></div>Not having a category like this in the Top 10 feels like a huge omission to me.<br></div>Who here in an organization of any non trivial size is not worried about what they dont know has been deployed?<br><br></div>Cheers,<br><br></div>Simon<br></div><div class="gmail_extra"><br><div class="gmail_quote"><div><div class="h5">On Mon, Apr 10, 2017 at 3:36 PM, Dave Wichers <span dir="ltr"><<a href="mailto:dave.wichers@owasp.org" target="_blank">dave.wichers@owasp.org</a>></span> wrote:<br></div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div class="h5"><div dir="ltr"><p class="m_-2191545971283781825m_5062059696245239400gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:calibri,sans-serif"><span class="m_-2191545971283781825m_5062059696245239400gmail-il">OWASP</span> Leaders!<u></u><u></u></p><p class="m_-2191545971283781825m_5062059696245239400gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:calibri,sans-serif"><u></u> <u></u></p><p class="m_-2191545971283781825m_5062059696245239400gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:calibri,sans-serif">The <span class="m_-2191545971283781825m_5062059696245239400gmail-il">Release</span> <span class="m_-2191545971283781825m_5062059696245239400gmail-il">Candidate</span> for the <span class="m_-2191545971283781825m_5062059696245239400gmail-il">OWASP</span> <span class="m_-2191545971283781825m_5062059696245239400gmail-il">Top</span> <span class="m_-2191545971283781825m_5062059696245239400gmail-il">10</span> – 2017 is now available! (Attached)<u></u><u></u></p><p class="m_-2191545971283781825m_5062059696245239400gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:calibri,sans-serif"><u></u> <u></u></p><p class="m_-2191545971283781825m_5062059696245239400gmail-m_1733368279678765635MsoNoSpacing" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:calibri,sans-serif"><span class="m_-2191545971283781825m_5062059696245239400gmail-m_1733368279678765635MsoHyperlink" style="color:blue;text-decoration-line:underline"><b><a href="https://github.com/OWASP/Top10/raw/master/2017/OWASP%20Top%2010%20-%202017%20RC1-English.pdf" target="_blank">It’s also available for <span style="font-size:10pt;font-family:verdana,sans-serif">Download here</span></a></b></span><b><span style="font-size:10pt;font-family:verdana,sans-serif"><u><u></u><u></u></u></span></b></p><p class="m_-2191545971283781825m_5062059696245239400gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:calibri,sans-serif"><span style="font-size:11pt"> </span><br></p><p class="m_-2191545971283781825m_5062059696245239400gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:calibri,sans-serif"><u></u></p><p class="m_-2191545971283781825m_5062059696245239400gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:calibri,sans-serif">Please forward to all the developers and development teams you know!! I’d love to get feedback from them too, and to start immediately raising awareness about what’s changed in this update to the OWASP <span class="m_-2191545971283781825m_5062059696245239400gmail-il">Top</span> <span class="m_-2191545971283781825m_5062059696245239400gmail-il">10</span>. The primary change is the addition of two new categories:</p><p class="m_-2191545971283781825m_5062059696245239400gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:calibri,sans-serif"><br></p><p class="m_-2191545971283781825m_5062059696245239400gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt"><font face="calibri, sans-serif"><span style="font-size:14.6667px"><b>2017-A7: Insufficient Attack Protection</b></span></font></p><p class="m_-2191545971283781825m_5062059696245239400gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt"><font face="calibri, sans-serif"><span style="font-size:14.6667px"><b>2017-A10: Underprotected APIs</b></span></font></p><p class="m_-2191545971283781825m_5062059696245239400gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt"><span style="font-family:calibri,sans-serif;font-size:11pt"> </span><br></p><p class="m_-2191545971283781825m_5062059696245239400gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:calibri,sans-serif"><u></u></p><p class="m_-2191545971283781825m_5062059696245239400gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:calibri,sans-serif">We plan to <span class="m_-2191545971283781825m_5062059696245239400gmail-il">release</span> the final version of the <span class="m_-2191545971283781825m_5062059696245239400gmail-il">OWASP</span> <span class="m_-2191545971283781825m_5062059696245239400gmail-il">Top</span> <span class="m_-2191545971283781825m_5062059696245239400gmail-il">10</span> - 2017 in July or Aug. 2017 after a public comment period ending June 30, 2017.<u></u><u></u></p><p class="m_-2191545971283781825m_5062059696245239400gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:calibri,sans-serif"><u></u> <u></u></p><p class="m_-2191545971283781825m_5062059696245239400gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:calibri,sans-serif">Constructive comments on this <span class="m_-2191545971283781825m_5062059696245239400gmail-il">OWASP</span> <span class="m_-2191545971283781825m_5062059696245239400gmail-il">Top</span> <span class="m_-2191545971283781825m_5062059696245239400gmail-il">10</span> - 2017 <span class="m_-2191545971283781825m_5062059696245239400gmail-il">Release</span> <span class="m_-2191545971283781825m_5062059696245239400gmail-il">Candidate</span> should be forwarded via email to <a href="mailto:OWASP-TopTen@lists.owasp.org" target="_blank"><span class="m_-2191545971283781825m_5062059696245239400gmail-il">OWASP</span>-TopTen@lists.<span class="m_-2191545971283781825m_5062059696245239400gmail-il">owasp</span>.or<wbr>g</a>. Private comments may be sent to <a href="mailto:dave.wichers@owasp.org" target="_blank">dave.wichers@<span class="m_-2191545971283781825m_5062059696245239400gmail-il">owasp</span>.org</a> .  Anonymous comments are welcome.  All  non-private comments will be catalogued and published at the same time as the final public <span class="m_-2191545971283781825m_5062059696245239400gmail-il">release</span>.  Comments recommending changes to the items listed in the <span class="m_-2191545971283781825m_5062059696245239400gmail-il">Top</span> <span class="m_-2191545971283781825m_5062059696245239400gmail-il">10</span> should include a complete suggested list of changes, along with a rationale for any changes. All comments should indicate the specific relevant page and section.<u></u><u></u></p><p class="m_-2191545971283781825m_5062059696245239400gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:calibri,sans-serif"><u></u> <u></u></p><p class="m_-2191545971283781825m_5062059696245239400gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:calibri,sans-serif">Your feedback is critical to the continued success of the <span class="m_-2191545971283781825m_5062059696245239400gmail-il" style="font-size:11pt">OWASP</span><span style="font-size:11pt"> </span><span class="m_-2191545971283781825m_5062059696245239400gmail-il" style="font-size:11pt">Top</span><span style="font-size:11pt"> </span><span class="m_-2191545971283781825m_5062059696245239400gmail-il" style="font-size:11pt">10</span><span style="font-size:11pt"> Project. Thank you all for your dedication to improving the security of the world’s software for everyone.</span></p><p class="m_-2191545971283781825m_5062059696245239400gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:calibri,sans-serif"><u></u></p><p class="m_-2191545971283781825m_5062059696245239400gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:calibri,sans-serif"><u></u> <u></u></p><p class="m_-2191545971283781825m_5062059696245239400gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:calibri,sans-serif">Thanks, Dave<u></u><u></u></p><p class="m_-2191545971283781825m_5062059696245239400gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:calibri,sans-serif"><u></u> <u></u></p><p class="m_-2191545971283781825m_5062059696245239400gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:calibri,sans-serif"><span class="m_-2191545971283781825m_5062059696245239400gmail-il">OWASP</span> <span class="m_-2191545971283781825m_5062059696245239400gmail-il">Top</span> <span class="m_-2191545971283781825m_5062059696245239400gmail-il">10</span> Project Lead</p></div>
<br></div></div><span class="">______________________________<wbr>_________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" target="_blank">https://lists.owasp.org/mailma<wbr>n/listinfo/owasp-leaders</a><br>
<br></span></blockquote></div><span class="HOEnZb"><font color="#888888"><br><br clear="all"><br>-- <br><div class="m_-2191545971283781825gmail_signature" data-smartmail="gmail_signature"><a href="https://www.owasp.org/index.php/ZAP" target="_blank">OWASP ZAP</a> Project leader<br></div>
</font></span></div>
</blockquote></div><br><br clear="all"><br>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><a href="https://www.owasp.org/index.php/ZAP" target="_blank">OWASP ZAP</a> Project leader<br></div>
</div>