The Web Application Security Consortium (WASC) has made a very hany cross-reference. As it states on their website:
“This view contains a mapping of the WASC Threat Classification’s Attacks and Weaknesses with MITRE’s Common Weakness Enumeration, MITRE’s Common Attack Pattern Enumeration and Classification, OWASP Top Ten 2010 RC1 (original mapping with OWASP Top Ten from Jeremiah Grossman & Bill Corry) and SANS/CWE and OWASP Top Ten 2007 and 2004 (original mapping from Dan Cornell, Denim Group)”
The 49-listed WASC Threat Classifications are all mapped to atleast one of the other lists. A really helpfull guide when you use automated scanners and their report templates don’t match.
Here is the link.
Dave Wichers, OWASP conferences chair, hield een verhaal over hoe het bedrijf SANS, gespecialiseerd in netwerk security, een secure-programmeer-certificering wil ontwikkelen om hun eigen expertises uit te breiden (en geld te verdienen).
SANS is een groot bedrijf met heel veel klanten en het wil zich gaan bewegen op het vlak van applicatie security. Omdat ze zoveel klanten hebben, hebben ze ook een goede marktingang voor andere security aspecten, waaronder applicatie security. SANS wil mede daarom graag certificeringsmogelijkheden gaan bieden aan programmeurs. Deze bestaan immers nu nog niet.
Volgens SANS wil de markt graag exact weten hoe goed een programmeur secure kan programmeren, daarom zijn ze zelf een Secure Programming Skills Assessment aan het ontwikkelen.
Omdat er echter nog niet veel expertise op dat gebied aanwezig is binnen dit bedrijf, heeft men OWASP gevraagd om te assisteren.
Dit assisteren kan in principe door opgaven te ‘doneren’ voor deze Secure Programming Skills Assessment, wat elk OWASP lid individueel kan doen.
Ook heeft SANS voor dit project samenwerking gezocht (en gevonden) met universiteiten, dus er zijn al veel mensen bezig met het maken van opgaven.
Als eerste wil men een security certificering voor C en voor Java ontwikkelen en daarna voor andere talen.
Pas wanneer er 5000+ opgaven in de database staan, wordt er certificeringsexamens afgelegd.
Persoonlijk vond ik het een gemiste kans voor SANS dat ze zelf niet de conferentie aanwezig waren om dit project te promoten. Dave Wichers heeft het verhaal nu (op uitstekende manier) verteld, maar hij vertelde erbij dat SANS geld aan wil verdienen aan dit project. Dat ze van dat geld niets aan de opgave-contributeurs afstaan, zal voor veel mensen een reden zijn om niet deel te nemen aan dit OWASP project.
