Well we need/should scan every OWASP released tool (and figure out a workflow for that) since there is a real posibility that some of them might have serious vulnerabilities or backdoors (at the moment we just don't know), except for the applications that are supposed to be insecure :)
<br><br>I like the idea that we create a workflow at a service like the one you provide (maybe via an OWASP specific project/section) where we check our apps before every major release (in the future I even want to alocate a budget for that so that we have a dedicated team that is responsible for checking and validating those releases).
<br><br>Regarding the sponsorship of the metrics, the answer is yes. The deadline for SpoC 007 was extended one week and even when the submission period is over, depending on the number and quality of applicants, we might still have some budget to allocate after it. So the question is how much do you want to sponsor?
<br><br>Dinis Cruz<br>Chief OWASP Evangelist<br><a href="http://www.owasp.org">http://www.owasp.org</a>
<br><br><div><span class="gmail_quote">On 4/4/07, <b class="gmail_sendername">Fredrick DeQuan Lee</b> <<a href="mailto:flee@fortifysoftware.com">flee@fortifysoftware.com</a>> wrote:</span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<div style="">Dinis, any word on getting more OWASP projects under review by the open source scanning project? Also, is there still time for Fortify to sponsor more work on the metrics project?<div><span class="e" id="q_111bd2ea3ba692c4_1">
<div><br><div><div>On Mar 30, 2007, at 12:56 PM, Fredrick DeQuan Lee wrote:</div><br><blockquote type="cite">We had no particular external individual in mind to work on the metrics project. The metrics project seems like a good topic for an OWASP intern or grad student. 
<div><br></div><div>With regards to scanning OWASP projects, all of the Java OWASP projects are not only welcome, but encouraged to get added to our project. I know that both JBroFuzz and Webgoat are already in our routine scan list. One of our goals is to actually encourage and help open source developers to fix the issues that we find. Partnering with OWASP would at least make it easier to get OWASP projects fixed.
</div><div><br></div><div><br><div><div>On Mar 30, 2007, at 12:47 PM, Dinis Cruz wrote:</div><br><blockquote type="cite"><div>That idea does sound interesting, do you have anybody in mind to do that project (which we could sponsor)
</div> <div> </div> <div>I haven't seen a SpoC 007 on that subject (<a href="https://www.owasp.org/index.php/OWASP_Spring_Of_Code_2007_Applications" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">
https://www.owasp.org/index.php/OWASP_Spring_Of_Code_2007_Applications</a>) but it would definitely be an strong application </div> <div> </div> <div>Stephen or Bob, any comments on this? (Stephen is on the Java Project and Bob Austin is on the Metrics)
</div> <div> </div> <div>I also wanted to explore the option to scan OWASP projects using your tool/free service, what are our options?</div> <div><br>Dinis Cruz<br>Chief OWASP Evangelist</div> <div><a href="http://www.owasp.org" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">
http://www.owasp.org</a> <br> </div> <div><span class="gmail_quote">On 3/29/07, <b class="gmail_sendername">Fredrick DeQuan Lee</b> <<a href="mailto:flee@fortifysoftware.com" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">
flee@fortifysoftware.com</a>> wrote:</span> <blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0px 0px 0px 0.8ex; padding-left: 1ex;"> <div style="">Dinis, <div><span style="white-space: pre;">
</span>I just read the latest OWASP news letter and saw  the call for OWASP Spring of Code participation. As you know, Fortify Software produces software security and quality analysis tools. Fortify recently launched a public project, the Java Open Review Project ( 
<a href="http://opensource.fortifysoftware.com/" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">http://opensource.fortifysoftware.com</a>), to examine Java open source projects for security and quality defects. The project retrieves open source projects, performs static analysis using FindBugs and Fortify Source Code Analysis, and presents the results for online analysis for auditors and project owners. Fortify is currently seeking participation from those wishing to: submit projects, review security defects, help fix open source security defects, or supply general feedback.  
</div> <div><span style="white-space: pre;"></span>I noticed that two of your Spring of Code project ideas listed would benefit from the information available at the JOR project site. Specifically, the Java Project and the AppSec Metrics project both could make use from the data collected in the JOR project site. Of particular interest to me would be having an OWASP Spring of Code participant process JOR data to use in the AppSec Metrics -- project. Fortify should be able to contribute additional funding for such an effort. Do you think there would be interest in such a project? 
</div> <div><br> </div> <div>More details about the JOR Project can be found at: <a href="http://opensource.fortifysoftware.com/" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">http://opensource.fortifysoftware.com
</a></div> <div>I hope to hear from you soon!</div><span> <div><br> </div> <div><br> <div><span style="word-spacing: 0px; font-family: Helvetica; font-style: normal; font-variant: normal; font-weight: normal; font-size: 12px; line-height: normal; font-size-adjust: none; font-stretch: normal; text-transform: none; color: rgb(0, 0, 0); text-indent: 0px; white-space: normal; letter-spacing: normal; border-collapse: separate; border-spacing: 0px;">
 <div><b style="font-weight: bold;"><span style="font-weight: bold;">Fredrick DeQuan Lee</span></b></div> <div><a href="http://www.fortifysoftware.com/" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">
<span style="color: rgb(0, 0, 238);">Fortify Software</span></a></div> <div>Security Research Group</div> <div>(w) 650-213-5677</div> <div><br> </div><br></span></div><br> </div></span></div></blockquote></div><br><br clear="all">
<br></blockquote></div><br><div> <span style="border-collapse: separate; border-spacing: 0px; color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px;">
<div><b style="font-weight: bold;"><span style="font-weight: bold;">Fredrick DeQuan Lee</span></b></div><div><a href="http://www.fortifysoftware.com" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">
<span style="color: rgb(0, 0, 238);">Fortify Software</span></a></div><div>Security Research Group</div><div>(w) 650-213-5677</div><div><br></div><br></span> </div><br></div></blockquote></div><br><div> <span style="border-collapse: separate; border-spacing: 0px; color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px;">
<div><b style="font-weight: bold;"><span style="font-weight: bold;">Fredrick DeQuan Lee</span></b></div><div><a href="http://www.fortifysoftware.com" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">
<span style="color: rgb(0, 0, 238);">Fortify Software</span></a></div><div>Security Research Group</div><div>(w) 650-213-5677</div><div><br></div><br></span> </div><br></div></span></div></div></blockquote></div><br><br clear="all">
<br><br>