Ciao a tutti, ho il piacere di annuncarvi un nuovo progetto OWASP che ho iniziato pochi giorni fa.
Un breve antefatto. La Top 10 OWASP delle criticità di un'applicazione web è diventata uno standard di fatto nel momento di stendere un report che descriva lo stato di salute di un'applicazione web. Inutile dire che è un documento grandioso. Sui risultati di una code review, in realtà non esiste nulla di simile se non il lavoro di Gary McGraw ha introdotto una tassonomia basata sui 7 regni di vulnerabilità del codice. Partendo da quello ho cercato di estenderne la struttura per arrivare ad un template simile al documento di Top 10. Per questo ho fatto partire il progetto "Owasp Source Flaws Top 10", con lo scopo di avere delle categorie di vulnerabilità (da includere ad esempio nella Code Review Guide o in Orizon) da utilizzare per raggruppare i findings di una code review statica. Se il progetto vi interessa e volete contribuire vi invito a seguire i link in calce, iscrivervi alla mailing list (in inglese) ed iniziare a collaborare. Il mio obiettivo è quello di raggiungere lo stato di Beta quality project, secondo gli standard Owasp, per la prossima AppSec Europe 2009 in Cracovia a Maggio, rilasciando una prima beta del documento di Top 10 per il 2009. Link: http://www.owasp.org/index.php/Category:OWASP_Source_Code_Flaws_Top_10_Project Roadmap: http://www.owasp.org/index.php/Category:OWASP_Source_Code_Flaws_Top_10_Project_Roadmap Mailinglist subscription page: https://lists.owasp.org/mailman/listinfo/owasp-source-code-flaws-top-10 Ciao ciao thesp0nge -- "stay hungry, stay foolish" OWASP Orizon project, http://orizon.sourceforge.net "enjoy your code review experience" ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
