see below in the event you missed it.<br><br><div class="gmail_quote">---------- Forwarded message ----------<br>From: <b class="gmail_sendername">Colin Watson</b> <span dir="ltr"><<a href="mailto:colin.watson@owasp.org">colin.watson@owasp.org</a>></span><br>
Date: Wed, Oct 28, 2009 at 1:35 PM<br>Subject: Re: [Global_industry_committee] The Microsoft SDL Pro Network<br>To: Christian Heinrich <<a href="mailto:christian.heinrich@owasp.org">christian.heinrich@owasp.org</a>>, Global_industry_committee <<a href="mailto:Global_industry_committee@lists.owasp.org">Global_industry_committee@lists.owasp.org</a>><br>
<br><br>Christian<br>
<br>
I spoke with Katie on Monday as a result of our approach.<br>
<br>
The current 'SDL Pro Network' members are all either training or<br>
consultancy organisations, and/or were involved in the development of<br>
the project.  Katie can see an opportunity for OWASP to become a<br>
member, but it would be a different type than these - OWASP's<br>
importance, and significant developer audience, mean it is in a good<br>
position to encourage the types of practices encouraged in lifecycle<br>
security.<br>
<br>
The question is whether OWASP wants to become a member.  What (costs)<br>
might that involve?<br>
<br>
- referencing the Microsoft SDL / SDL Pro Network from the wiki<br>
      - perhaps new pages about lifecycle issues, and referencing CLASP, SAMM<br>
        and a new page about SDL Pro (and maybe others BSIMM, Cigital Software<br>
        Security Touchpoints???)?<br>
- allowing OWASP to be mentioned on the SDL Pro Network page as a member?<br>
      - logo?<br>
      - link?<br>
<br>
At the moment there doesn't seem to be any obligation to contribute<br>
resources in any way to the SDL effort, but I suspect the Global<br>
Industry Committee and others would provide feedback on developer's<br>
experiences and future public drafts and the like.  Would it weaken<br>
CLASP or SAMM in any way?<br>
<br>
OWASP would also need to consider whether its impartiality is in any<br>
way affected, and also ensure it is not being seen to promote any<br>
particular vendor.  OWASP materials already reference some vendor's<br>
free and commercial products e.g.<br>
<br>
Threat Risk Modeling<br>
<a href="http://www.owasp.org/index.php/Threat_Risk_Modeling" target="_blank">http://www.owasp.org/index.php/Threat_Risk_Modeling</a><br>
<br>
Does being a member of SDL Pro Network bring other benefits to OWASP?  Perhaps:<br>
<br>
- greater awareness?<br>
- greater acceptance by commercial software development companies?<br>
<br>
So we (OWASP) need to have a discussion.  Pravir and Andrew van der<br>
Stock (Development Guide) would seem to be crucial to this. What are<br>
people's views here, and how do you think we should proceed?<br>
<br>
Regards<br>
<font color="#888888"><br>
Colin Watson<br>
Global Industry Committee<br>
<a href="http://www.owasp.org/index.php/Global_Industry_Committee" target="_blank">http://www.owasp.org/index.php/Global_Industry_Committee</a><br>
_______________________________________________<br>
Global_industry_committee mailing list<br>
<a href="mailto:Global_industry_committee@lists.owasp.org">Global_industry_committee@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/global_industry_committee" target="_blank">https://lists.owasp.org/mailman/listinfo/global_industry_committee</a><br>
</font></div><br><br clear="all"><br>-- <br>Tom Brennan<br><a href="http://www.linkedin.com/in/tombrennan">http://www.linkedin.com/in/tombrennan</a><br>(973) 506-9303<br><br>Don't miss the largest APPSEC focused event in 2009'  <a href="http://www.owasp.org/index.php/OWASP_AppSec_DC_2009">http://www.owasp.org/index.php/OWASP_AppSec_DC_2009</a><br>