<div dir="ltr"><div><div><div><div><div>Awesome! I'm super excited to see this project rolling!<br><br>Manico and I and a few others started putting together some thoughts on this a few years ago as well, somewhat patterned after WAFEC:<br>
<br><a href="https://docs.google.com/document/d/1XwvFS0dTwue77JlsggFg7KAxPPMIwc4iKMWwXpzfD2A/edit?usp=sharing">https://docs.google.com/document/d/1XwvFS0dTwue77JlsggFg7KAxPPMIwc4iKMWwXpzfD2A/edit?usp=sharing</a><br><br></div>
<div>A few points of discussion to consider (we can spin these off into different threads if necessary):<br><br>1. Perhaps some introductions of the working group members would be in order? :)<br><br></div>2. I think one of the key insights we had a few years ago is that a framework falls somewhere on a continuum between "vulnerable out of the box" and "developer can't introduce the vuln even if they tried". That is a slightly different approach than the current one in the spreadsheet, though some of this is captured in column B ("present/not present/in progress") and column D ("en/disabled by default"). Punishment or reward for reaching either of these two additional and extreme ends of the spectrum might be valuable to capture in the scoring function.<br>
<br></div>3. The continuum in #1 sort of suggests that "vulnerabilities" are used instead of "protections", though there does exist a discrete mapping between the two and it might not be too hard to create different "views" of the data for users who'd want to see how the frameworks stack up through one lens or the other. My personal guess is that most groups that would be making risk decisions about frameworks (product managers, engineering managers, security teams) would be more comfortable with a vulnerability-based view as opposed to a protection-based view, but of course the only way to determine how well a framework does with a vulnerability class is to measure the protections it has in place to eliminate that vulnerability. So this probably is a matter of presentation much more than it is a matter of measurement methodology.<br>
<br></div>4. If this group agrees with how the OWASP Periodic Table divides up the protections between perimeter/platform, frameworks, browser/standards, and custom code solutions, we can just go right down the list at <a href="https://www.owasp.org/index.php/OWASP_Periodic_Table_of_Vulnerabilities#tab=Periodic_Table_of_Vulnerabilities">https://www.owasp.org/index.php/OWASP_Periodic_Table_of_Vulnerabilities#tab=Periodic_Table_of_Vulnerabilities</a> and make sure all of the framework solution requirements documented there are measured by the Framework Security project. Naturally, I'd want the Periodic Table to be informed by any insights we gain on this project, as well.<br>
</div><br></div>-j<br><div><div><br><br></div></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Wed, Jan 15, 2014 at 5:18 AM, Jerry Hoff <span dir="ltr"><<a href="mailto:jerry@owasp.org" target="_blank">jerry@owasp.org</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word">Hi team,<div><br></div><div>I worked on a similar project a few years ago - it's probably out of date but we might be able to get some good data out of it and add to the new project:</div>
<div><br></div><div><a href="https://docs.google.com/a/owasp.org/spreadsheet/ccc?key=0AjEL3xccZUtJdGlSOFk0am5ydnlTd1FOUGVZNmllb2c&pli=1#gid=0" target="_blank">https://docs.google.com/a/owasp.org/spreadsheet/ccc?key=0AjEL3xccZUtJdGlSOFk0am5ydnlTd1FOUGVZNmllb2c&pli=1#gid=0</a></div>
<div><br></div><div>Jerry </div><div><br></div><div><div>
<div style="text-indent:0px;letter-spacing:normal;font-variant:normal;text-align:-webkit-auto;font-style:normal;font-weight:normal;line-height:normal;text-transform:none;font-size:medium;white-space:normal;font-family:Helvetica;word-wrap:break-word;word-spacing:0px">
--<br>Jerry Hoff</div><div style="text-indent:0px;letter-spacing:normal;font-variant:normal;text-align:-webkit-auto;font-style:normal;font-weight:normal;line-height:normal;text-transform:none;font-size:medium;white-space:normal;font-family:Helvetica;word-wrap:break-word;word-spacing:0px">
@jerryhoff<br><a href="mailto:jerry@owasp.org" target="_blank">jerry@owasp.org</a><br><br><br></div>
</div>
<br><div><div class="im"><div>On Jan 15, 2014, at 7:44 AM, Michael Coates <<a href="mailto:michael.coates@owasp.org" target="_blank">michael.coates@owasp.org</a>> wrote:</div><br></div><blockquote type="cite"><div class="im">
<div dir="ltr">All,<br><div><br>Thanks to those that are helping out on the Django security controls. We're starting to make some great progress!<br><a href="https://docs.google.com/a/owasp.org/spreadsheet/ccc?key=0AhSfMVkfLvsldEltRUEwMkUydVVrMkNyVW1vbGxLaXc#gid=0" target="_blank">https://docs.google.com/a/owasp.org/spreadsheet/ccc?key=0AhSfMVkfLvsldEltRUEwMkUydVVrMkNyVW1vbGxLaXc#gid=0</a><br>

<br> I
 also posted in the django developer growth to see if we can get 
traction there 
(<a href="https://groups.google.com/forum/#!topic/django-developers/uc01Z2DZHh4" target="_blank">https://groups.google.com/forum/#!topic/django-developers/uc01Z2DZHh4</a>).
 We've got a handful of views so far.<br><br><br></div></div><div class="gmail_extra"><br clear="all"><div><div dir="ltr"><br>--<br>Michael Coates<br>@_mwc<br><br></div></div>
<br><br><div class="gmail_quote">On Tue, Jan 14, 2014 at 8:41 AM, Michael Coates <span dir="ltr"><<a href="mailto:michael.coates@owasp.org" target="_blank">michael.coates@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div dir="ltr"><div><div>All,<br><br></div>It's time for us to get moving on this project. After introducing the project I hit a ton of work and unfortunately didn't get as much time on this item.<br><br></div><div>


Starting Things Up<br></div><div>The project will evolve as we gather information. For now let's start in a google doc - it's easy to edit and easy for people to contribute. We also need a framework to start with. I recommend we start with Django. <br>


<br></div><div>Here is the google spreadsheet. Please start contributing with any info you have.<br><br><a href="https://docs.google.com/a/owasp.org/spreadsheet/ccc?key=0AhSfMVkfLvsldEltRUEwMkUydVVrMkNyVW1vbGxLaXc&usp=sharing" target="_blank">https://docs.google.com/a/owasp.org/spreadsheet/ccc?key=0AhSfMVkfLvsldEltRUEwMkUydVVrMkNyVW1vbGxLaXc&usp=sharing</a><br>


<br></div><div>Ways to help:<br></div><div>1. Add security controls to the list <br></div><div>2. Fill out the table with information<br></div><div>3. Email the list with ideas on how we should continue to evolve the project<br>


<br><br>Thanks!<br></div><div><br clear="all"><div><div><div dir="ltr"><br>--<br>Michael Coates<br>@_mwc<br><br></div></div>
</div></div></div>
</blockquote></div><br></div></div>
_______________________________________________<br>Owasp_framework_security_project mailing list<br><a href="mailto:Owasp_framework_security_project@lists.owasp.org" target="_blank">Owasp_framework_security_project@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp_framework_security_project" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp_framework_security_project</a><br></blockquote></div><br></div></div><br>_______________________________________________<br>

Owasp_framework_security_project mailing list<br>
<a href="mailto:Owasp_framework_security_project@lists.owasp.org">Owasp_framework_security_project@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp_framework_security_project" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp_framework_security_project</a><br>
<br></blockquote></div><br></div>