<p dir="ltr">On Aug 10, 2014 12:03 PM, "Sherif Mansour" <<a href="mailto:cherifmansour@gmail.com">cherifmansour@gmail.com</a>> wrote:<br>
> Equally I can provide you with an initial list of static code analysis results from Fortify, if only as a benchmark for other findings etc..<br>
> I am also very intruded by <a href="http://rips-scanner.sourceforge.net/">http://rips-</a><a href="http://rips-scanner.sourceforge.net/">scanner.sourceforge.net</a><a href="http://rips-scanner.sourceforge.net/">/</a> this php opensource security static code analyzer... but one thing at a time I guess :-)</p>

<p dir="ltr">This all sounds very interesting, looking forward to seeing what you come up with.</p>
<p dir="ltr">Have we had any security bugs yet that would be good candidates for fuzzing? e.g. parsing generated wikitext (php or parsoid in any direction) or exif fields with weird values or math/timeline/etc input or API inputs?</p>

<p dir="ltr">btw, fyi, we also may need to change a Jenkins test that is not about security but rather it simply tests whether or not the php has syntax errors that that will prevent a script from running at all. (i.e. lint) I think we're still at a good stage to be considering other options in case someone has a tool to suggest. (See <a href="https://bugzilla.wikimedia.org/68255">https</a><a href="https://bugzilla.wikimedia.org/68255">://</a><a href="https://bugzilla.wikimedia.org/68255">bugzilla.wikimedia.org</a><a href="https://bugzilla.wikimedia.org/68255">/68255</a> )</p>

<p dir="ltr">-Jeremy</p>