<html>
<head>
<style><!--
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
font-size: 10pt;
font-family:Verdana
}
--></style>
</head>
<body class='hmmessage'>
Dear Dave - Yes, it's the right approach to identify all security concerns upfront as much as possible and plan how to mitigate them using threat modeling approach. <BR>
I would recomment you to use CLASP project methodology proposed by OWASP. The url is <A href="http://www.owasp.org">www.owasp.org</A><BR>
 <BR>
Regards<BR>
Amer Saleem<BR>
 <BR>
 <BR>
<BR> <BR>
<HR id=stopSpelling>
Date: Sun, 30 May 2010 20:39:22 +0530<BR>From: daveyrr@gmail.com<BR>To: websecurity@webappsec.org<BR>Subject: [WEB SECURITY] Security in requirment gathering phase<BR><BR>
<DIV>I want to implement secure SDLC for applications developed in my organization.<BR> <BR>For requirement gathering phase ,I plan to make a exhaustive list of application security controls for various caegories like Authentication , Session Mangement , Auditing and Logging etc  and ask my application team to accept /reject them based on requirement , with suitable comments.Which can be furhter used during design phase to make sure all the necessary controls identified as a part of requirement are coverd.<BR> <BR>I plan to follow this up by a threat modeling activity during the design phase.<BR> <BR>Will this be sufficient ? If someone can suggest a better approach for Requirement gathering and Design Phase phase.</DIV>
<DIV> </DIV>
<DIV>Dave</DIV>                                       <br /><hr />Hotmail is redefining busy with tools for the New Busy. Get more from your inbox. <a href='http://www.windowslive.com/campaign/thenewbusy?ocid=PID28326::T:WLMTAGL:ON:WL:en-US:WM_HMP:042010_2' target='_new'>See how.</a></body>
</html>