<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META content=text/html;charset=iso-8859-1 http-equiv=Content-Type>
<META name=GENERATOR content="MSHTML 8.00.6001.18904"></HEAD>
<BODY style="PADDING-LEFT: 10px; PADDING-RIGHT: 10px; PADDING-TOP: 15px" 
id=MailContainerBody leftMargin=0 topMargin=0 CanvasTabStop="true" 
name="Compose message area">
<DIV><FONT size=2 face=Verdana>QA plays very important role in our application 
testing, hence they should also be trained and threat model analysis should be 
integrated with various testing stages of QA. </FONT></DIV>
<DIV><FONT size=2 face=Verdana></FONT> </DIV>
<DIV><FONT size=2 face=Verdana>Regards</FONT></DIV>
<DIV><FONT size=2 face=Verdana>Chander Singh</FONT></DIV>
<DIV><BR></DIV>
<DIV style="FONT: 10pt Tahoma">
<DIV style="BACKGROUND: #f5f5f5">
<DIV style="font-color: black"><B>From:</B> <A title=venuspegion@gmail.com 
href="mailto:venuspegion@gmail.com">Neelu Tripathy</A> </DIV>
<DIV><B>Sent:</B> Monday, May 31, 2010 08:53</DIV>
<DIV><B>To:</B> <A title=daveyrr@gmail.com href="mailto:daveyrr@gmail.com">dave 
perry</A> </DIV>
<DIV><B>Cc:</B> <A title=websecurity@webappsec.org 
href="mailto:websecurity@webappsec.org">websecurity@webappsec.org</A> </DIV>
<DIV><B>Subject:</B> Re: [WEB SECURITY] Security in requirment gathering 
phase</DIV></DIV></DIV>
<DIV><BR></DIV>Hi Dave, 
<DIV>To build security into your application, you would need to embed it in 
every phase. Apart from Security Requirement Gathering and making the design 
secure, you can should do the following:</DIV>
<DIV>1. Do a Threat Modelling which could be a part of Design Phase</DIV>
<DIV>2. Secure the development by following security guidelines for development 
and get the code reviewed</DIV>
<DIV>3. Before deployment you should get your application security assessed(try 
some PT stuff- discovers many loopholes)</DIV>
<DIV><BR></DIV>
<DIV>These are the minimum and as seen the application turns out to be 
considerably robust.</DIV>
<DIV><BR></DIV>
<DIV>Regards,</DIV>
<DIV>Neelu.<BR><BR>
<DIV class=gmail_quote>On Sun, May 30, 2010 at 8:39 PM, dave perry <SPAN 
dir=ltr><<A href="mailto:daveyrr@gmail.com">daveyrr@gmail.com</A>></SPAN> 
wrote:<BR>
<BLOCKQUOTE 
style="BORDER-LEFT: #ccc 1px solid; MARGIN: 0px 0px 0px 0.8ex; PADDING-LEFT: 1ex" 
class=gmail_quote>
  <DIV>I want to implement secure SDLC for applications developed in my 
  organization.<BR> <BR>For requirement gathering phase ,I plan 
  to make a exhaustive list of application security controls for 
  various caegories like Authentication , Session Mangement , Auditing and 
  Logging etc  and ask my application team to accept /reject them based on 
  requirement , with suitable comments.Which can be furhter used during design 
  phase to make sure all the necessary controls identified as a part of 
  requirement are coverd.<BR> <BR>I plan to follow this up by a threat 
  modeling activity during the design phase.<BR> <BR>Will this be 
  sufficient ? If someone can suggest a better approach for Requirement 
  gathering and Design Phase phase.</DIV>
  <DIV> </DIV><FONT color=#888888>
  <DIV>Dave</DIV></FONT></BLOCKQUOTE></DIV><BR></DIV></BODY></HTML>