<html><body bgcolor="#FFFFFF"><div><div>I don't think that faireness is the issue here , but the process of how we do this <span class="Apple-style-span" style="-webkit-tap-highlight-color: rgba(26, 26, 26, 0.289062); -webkit-composition-fill-color: rgba(175, 192, 227, 0.222656); -webkit-composition-frame-color: rgba(77, 128, 180, 0.222656); ">(and we need to look at this from OWASP's point if view, not from veracode's)</span></div>
<div><span class="Apple-style-span" style="-webkit-tap-highlight-color: rgba(26, 26, 26, 0.285156); -webkit-composition-fill-color: rgba(175, 192, 227, 0.21875); -webkit-composition-frame-color: rgba(77, 128, 180, 0.21875);"><br>
</span></div><div><span class="Apple-style-span" style="-webkit-tap-highlight-color: rgba(26, 26, 26, 0.28125); -webkit-composition-fill-color: rgba(175, 192, 227, 0.214844); -webkit-composition-frame-color: rgba(77, 128, 180, 0.214844);">I don't see how we can deliver these 'official OWASP quotes' outside of our website! </span></div>
<div><span class="Apple-style-span" style="-webkit-tap-highlight-color: rgba(26, 26, 26, 0.277344); -webkit-composition-fill-color: rgba(175, 192, 227, 0.210938); -webkit-composition-frame-color: rgba(77, 128, 180, 0.210938);"><br>
</span></div><div><span class="Apple-style-span" style="-webkit-tap-highlight-color: rgba(26, 26, 26, 0.273438); -webkit-composition-fill-color: rgba(175, 192, 227, 0.207031); -webkit-composition-frame-color: rgba(77, 128, 180, 0.207031);">What would be the delivery mechanism? An email from a board member? An email from an OWASP employee? Is that email that will make it an official OWASP quote?</span></div>
<div><span class="Apple-style-span" style="-webkit-tap-highlight-color: rgba(26, 26, 26, 0.269531); -webkit-composition-fill-color: rgba(175, 192, 227, 0.203125); -webkit-composition-frame-color: rgba(77, 128, 180, 0.203125);"><br>
</span></div><div><span class="Apple-style-span" style="-webkit-tap-highlight-color: rgba(26, 26, 26, 0.273438); -webkit-composition-fill-color: rgba(175, 192, 227, 0.207031); -webkit-composition-frame-color: rgba(77, 128, 180, 0.207031);">Some of these opinions have the potential to generate some controversy (which in some cases is going to be a good thing), but we have to make sure we have a solid and clear process.</span></div>
<div><span class="Apple-style-span" style="-webkit-tap-highlight-color: rgba(26, 26, 26, 0.269531); -webkit-composition-fill-color: rgba(175, 192, 227, 0.203125); -webkit-composition-frame-color: rgba(77, 128, 180, 0.203125);"><br>
</span></div><div><span class="Apple-style-span" style="-webkit-tap-highlight-color: rgba(26, 26, 26, 0.273438); -webkit-composition-fill-color: rgba(175, 192, 227, 0.207031); -webkit-composition-frame-color: rgba(77, 128, 180, 0.207031);">Given the urgency of the request and the fact that it is the first one, we can explicitly shortcut some of the steps (like the public consultation period) </span></div>
<div><span class="Apple-style-span" style="-webkit-tap-highlight-color: rgba(26, 26, 26, 0.269531); -webkit-composition-fill-color: rgba(175, 192, 227, 0.203125); -webkit-composition-frame-color: rgba(77, 128, 180, 0.203125);"><br>
</span></div><div><span class="Apple-style-span" style="-webkit-tap-highlight-color: rgba(26, 26, 26, 0.273438); -webkit-composition-fill-color: rgba(175, 192, 227, 0.207031); -webkit-composition-frame-color: rgba(77, 128, 180, 0.207031);">BUT we have to:</span></div>
<div><span class="Apple-style-span" style="-webkit-tap-highlight-color: rgba(26, 26, 26, 0.269531); -webkit-composition-fill-color: rgba(175, 192, 227, 0.203125); -webkit-composition-frame-color: rgba(77, 128, 180, 0.203125);"><br>
</span></div><div><span class="Apple-style-span" style="-webkit-tap-highlight-color: rgba(26, 26, 26, 0.273438); -webkit-composition-fill-color: rgba(175, 192, 227, 0.207031); -webkit-composition-frame-color: rgba(77, 128, 180, 0.207031);">a) make it come from a special page on the OWASP website</span></div>
<div><span class="Apple-style-span" style="-webkit-tap-highlight-color: rgba(26, 26, 26, 0.273438); -webkit-composition-fill-color: rgba(175, 192, 227, 0.207031); -webkit-composition-frame-color: rgba(77, 128, 180, 0.207031);">b) present it as an experiment (where we are still trying to figure out the rules of engagement)  </span></div>
<div><br>Dinis Cruz</div><div><br>On 26 Jun 2010, at 18:38, Jeff Williams <<a href="mailto:jeff.williams@owasp.org"><a href="mailto:jeff.williams@owasp.org">jeff.williams@owasp.org</a></a>> wrote:<br><br></div><div>
</div><blockquote type="cite"><div><div>It's not fair to preempt their press release.<br><br>--Jeff<div><br></div><div>Jeff Williams</div><div>Aspect Security</div><div>work: 410-707-1487</div><div>main: 301-604-4882</div>
<div><br></div><div><br></div></div><div><br>On Jun 25, 2010, at 4:52 PM, dinis cruz <<a href="mailto:dinis.cruz@owasp.org"></a><a href="mailto:dinis.cruz@owasp.org"><a href="mailto:dinis.cruz@owasp.org">dinis.cruz@owasp.org</a></a>> wrote:<br>
<br></div><div></div><blockquote type="cite"><div><div>Have they seen your quote?</div><div><br></div><div>Due to the time restraints, then lets publish the first ideas on how this could work in the Wiki at the same time that we give them the quote.</div>

<div><br></div><div>In fact they should get the quote from the Wiki</div><div><br>Dinis Cruz</div><div><br>On 25 Jun 2010, at 21:25, Jeff Williams <<a href="mailto:jeff.williams@owasp.org"></a><a href="mailto:jeff.williams@owasp.org"></a><a href="mailto:jeff.williams@owasp.org"><a href="mailto:jeff.williams@owasp.org">jeff.williams@owasp.org</a></a>> wrote:<br>

<br></div><div></div><blockquote type="cite"><div>

<div class="WordSection1">

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D">They’re on kind of a short burn for this particular quote.  How
about we give them the quote and then put that infrastructure in place
afterwards.</span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D"> </span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D">--Jeff</span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D"> </span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D"> </span></p>

<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in">

<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> dinis cruz
[mailto:<a href="mailto:dinis.cruz@owasp.org"></a><a href="mailto:dinis.cruz@owasp.org"></a><a href="mailto:dinis.cruz@owasp.org"><a href="mailto:dinis.cruz@owasp.org">dinis.cruz@owasp.org</a></a>] <br>
<b>Sent:</b> Friday, June 25, 2010 1:28 PM<br>
<b>To:</b> Jeff Williams<br>
<b>Cc:</b> OWASP Foundation Board List<br>
<b>Subject:</b> Re: [Owasp-board] Need guidance on providing OWASP quote to
Veracode</span></p>

</div>

<p class="MsoNormal"> </p>

<p class="MsoNormal">Hi Jeff, </p>

<div>

<p class="MsoNormal"> </p>

</div>

<div>

<p class="MsoNormal">I definitely think that OWASP should have 'on the
record' quotes about what 3rd parties are doing with OWASP's projects.</p>

</div>

<div>

<p class="MsoNormal"> </p>

</div>

<div>

<p class="MsoNormal">In terms of workflow and rules, I would like to propose
that:</p>

</div>

<div>

<p class="MsoNormal"> </p>

</div>

<div>

<ul type="disc">
 <li class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;
     mso-list:l0 level1 lfo1">All quotes are placed in specific locations of
     the OWASP Wiki (i.e. on a dedicated pages which could be global to OWASP
     or project specific) where it is obvious that those are OWASP Official
     quotes (this page should be protected from non-wiki-admin edits)</li>
 <li class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;
     mso-list:l0 level1 lfo1">For each 'official OWASP quote' there should be a
     period of  consultation where all interrest parties have
     the opportunity to 'on the record' comment (namely OWASP
     Committee members and leaders)</li>
 <li class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;
     mso-list:l0 level1 lfo1">The first pass at the 'quote' should be made by
     the board or a committee that we delegate the responsibility (maybe the
     Industry one (when it becomes alive again))</li>
 <li class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;
     mso-list:l0 level1 lfo1">After the consultation period, the board has
     final decision on the final wording of the text</li>
 <li class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;
     mso-list:l0 level1 lfo1">There are cases where the 'OWASP official quote'
     will probably be 'OWASP has no comment on this topic'</li>
</ul>

<div>

<p class="MsoNormal">What do you think? We should use this Veracode request to try
this out (which again should be presented to our community as an 'experiment')</p>

</div>

<p class="MsoNormal" style="margin-bottom:12.0pt"><br>
Dinis Cruz<br>
<br>
<br>
</p>

<div>

<p class="MsoNormal">On 24 June 2010 03:35, Jeff Williams <<a href="mailto:jeff.williams@owasp.org"></a><a href="mailto:jeff.williams@owasp.org"></a><a href="mailto:jeff.williams@owasp.org"></a><a href="mailto:jeff.williams@owasp.org"><a href="mailto:jeff.williams@owasp.org">jeff.williams@owasp.org</a></a>> wrote:</p>


<div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Here’s
the background.  Veracode is going to start supporting the OWASP T10
output format.  They are making a big deal about how OWASP has grown to
achieve widespread industry acceptance, blah blah blah…  They are also
pushing a clear message that gaining assurance involves a combination of both automated
and manual testing.</p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> </p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">On
the call, I asked them whether they would be willing to be very clear about
exactly which of the OWASP T10 recommendations their product/service
verifies.  This was my minimum bar for participating.  At the high
end, I asked if they would go through the ASVS and indicate which of those they
can verify.</p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> </p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Essentially,
all they’re doing is what everyone does: say that their service solves the
OWASP T10.   I think we should ONLY support these statements if the
vendor is willing to FULLY disclose exactly what their coverage is and how it
is achieved.  That goes right to the core of the issue we’ve been
discussing.  I think we can support these commercial vendors as long as
they do their part in making security *<b>visible</b>*.</p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> </p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">So
they’ve asked me for a quote.  <span style="background:yellow">Assuming
they disclose</span>, I’m thinking something like…</p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> </p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;
margin-left:.5in">“The OWASP Foundation is pleased that Veracode will support
the Top 10. Managing application security requires an understanding of what has
been checked and what has not. Veracode’s message of transparency and combining
both manual and automated verification techniques stand in stark contrast to
those product vendors that wrongly and dangerously assert complete Top 10
coverage and compliance.” </p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> </p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="background:yellow">VOTE: Do you think OWASP should issue quotes like
this when vendors do something that 1) involves OWASP and 2) is basically in
line with our principles.  Or should we just stay clear.</span></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> </p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">--Jeff</p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> </p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Jeff
Williams, Chair</p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">The
OWASP Foundation</p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">work:
410-707-1487</p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">main:
301-604-4882</p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> </p>

</div>

</div>

<p class="MsoNormal" style="margin-bottom:12.0pt"><br>
_______________________________________________<br>
Owasp-board mailing list<br>
<a href="mailto:Owasp-board@lists.owasp.org"></a><a href="mailto:Owasp-board@lists.owasp.org"></a><a href="mailto:Owasp-board@lists.owasp.org"></a><a href="mailto:Owasp-board@lists.owasp.org"><a href="mailto:Owasp-board@lists.owasp.org">Owasp-board@lists.owasp.org</a></a><br>

<a href="https://lists.owasp.org/mailman/listinfo/owasp-board" target="_blank"></a><a href="https://lists.owasp.org/mailman/listinfo/owasp-board"></a><a href="https://lists.owasp.org/mailman/listinfo/owasp-board"></a><a href="https://lists.owasp.org/mailman/listinfo/owasp-board"><a href="https://lists.owasp.org/mailman/listinfo/owasp-board">https://lists.owasp.org/mailman/listinfo/owasp-board</a></a></p>


</div>

<p class="MsoNormal"> </p>

</div>

</div>




</div></blockquote>
</div></blockquote></div></blockquote></div><div></div></body></html>