<div>So, in terms of quotes how do we establish what they claim is true? if the quote is about satisfying an OWASP requirement?</div>
<div>Quotes from the point of saying Organisation xyz supports OWASP in the following ways is much more transparent.</div>
<div> </div>
<div><br><br> </div>
<div class="gmail_quote">On 28 June 2010 18:24, dinis cruz <span dir="ltr"><<a href="mailto:dinis.cruz@owasp.org">dinis.cruz@owasp.org</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">I think we should do these specific quotes 'on demand' (i.e. when explicitly request) and only when they make sense (i.e. when there is something to say) 
<div><br></div>
<div>I quite like the concept that in some cases OWASP's position is going to be 'OWASP has no comment or position on this issue'<br>
<div><br>Dinis Cruz 
<div>
<div></div>
<div class="h5"><br><br>
<div class="gmail_quote">On 28 June 2010 18:13, Brennan - OWASP <span dir="ltr"><<a href="mailto:tomb@owasp.org" target="_blank">tomb@owasp.org</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">I would support that at this point stage of OWASP Foundation.<br><br>Take a look at the most current list:<br>

<div><br><a href="http://www.owasp.org/index.php/Membership#Current_OWASP_Organization_Supporters_.26_Individual_Members" target="_blank">http://www.owasp.org/index.php/Membership#Current_OWASP_Organization_Supporters_.26_Individual_Members</a><br>
<br></div>What can you say about EVERYONE?<br><br>Since we do not endorse anyone, we can say these firms have demonstrated an alliance to the goals and mission of OWASP.  Maybe we send them a signed letter thanking them for the support<br>

<div>
<div></div>
<div><br><br><br>On Jun 28, 2010, at 1:01 PM, Jeff Williams wrote:<br><br>> I’ll follow up with them today about this and ask if they’ve made any progress on their claimed transparency.  As I mentioned at the outset, if they’re not transparent about what they cover and what they do, then I don’t think the quote is justified.<br>
><br>> Tom, were you suggesting that we shouldn’t do *any* quote about companies that are non-members?<br>><br>> --Jeff<br>><br>><br>> From: dinis cruz [mailto:<a href="mailto:dinis.cruz@owasp.org" target="_blank">dinis.cruz@owasp.org</a>]<br>
> Sent: Monday, June 28, 2010 9:53 AM<br>> To: Brennan - OWASP<br>> Cc: Jeff Williams; OWASP Foundation Board List; Cornell Dan<br>> Subject: Re: [Owasp-board] Need guidance on providing OWASP quote to Veracode<br>
><br>> Sorry last email was sent to soon, the last comment I was making was (new bit in bold):<br>><br>> ... And yes, your list of firms around OWASP is just a small subset of the companies that would want to play this game (note how Jeff's quote (which eventually will become OWASP's quote) is sending a 'parallel' message that 'some' product companies are dangerously asserting Top 10 coverage and compliance<br>
><br>> Dinis Cruz<br>><br>><br>> On 28 June 2010 14:50, dinis cruz <<a href="mailto:dinis.cruz@owasp.org" target="_blank">dinis.cruz@owasp.org</a>> wrote:<br>> We need to have both quotes<br>><br>
> one that is generic for each type of user or type of usage of OWASP materials<br>> one that is specific to a particular scenario (like the Veracode one)<br>> For reference here is the original quote that Jeff proposed that we gave Veracode:<br>
><br>> “The OWASP Foundation is pleased that Veracode will support the Top 10. Managing application security requires an understanding of what has been checked and what has not. Veracode’s message of transparency and combining both manual and automated verification techniques stand in stark contrast to those product vendors that wrongly and dangerously assert complete Top 10 coverage and compliance.”<br>
><br>> I think this is a very important quote for OWASP to be providing and we need to do it.<br>><br>> BUT (as I said in previous emails) we need to do this under a clear process and (in the beginning) under a 'this is an experiment' banner'<br>
><br>> And yes, your list of firms around OWASP is just a small subset of the companies that would want to play this game (note how Jeff's quote (which eventually will become OWASP's q<br>><br>><br>> Dinis Cruz<br>
><br>> Blog: <a href="http://diniscruz.blogspot.com/" target="_blank">http://diniscruz.blogspot.com</a><br>> Twitter: <a href="http://twitter.com/DinisCruz" target="_blank">http://twitter.com/DinisCruz</a><br>> Web: <a href="http://www.owasp.org/index.php/O2" target="_blank">http://www.owasp.org/index.php/O2</a><br>
><br>><br>><br>> On 28 June 2010 14:44, Brennan - OWASP <<a href="mailto:tomb@owasp.org" target="_blank">tomb@owasp.org</a>> wrote:<br>> Sounds like you are suggesting a (3) generic or blanket quote to be used by corporate, university and industry  sponsors in unification of the Owasp mission<br>
><br>> Look at core firms look around the room<br>><br>> Aspect<br>> WhiteHat<br>> Trustwave<br>> Denim<br>> Fortify<br>> Veracode<br>> Columbia<br>> NYC poly<br>> Salesforce<br>> <insert>....<br>
><br>> Keep it simple.  As a value of membership you get to use one of these in releases as you are a recognized supporter.  If you want to hire or retain PR company they would tell you the same ( I just called a buddy in the PR industry for her thoughts )<br>
><br>> Tom Brennan<br>> 973-506-9303<br>><br>><br>> On Jun 28, 2010, at 9:14 AM, dinis cruz <<a href="mailto:dinis.cruz@owasp.org" target="_blank">dinis.cruz@owasp.org</a>> wrote:<br>><br>> I don't think that faireness is the issue here , but the process of how we do this (and we need to look at this from OWASP's point if view, not from veracode's)<br>
><br>> I don't see how we can deliver these 'official OWASP quotes' outside of our website!<br>><br>> What would be the delivery mechanism? An email from a board member? An email from an OWASP employee? Is that email that will make it an official OWASP quote?<br>
><br>> Some of these opinions have the potential to generate some controversy (which in some cases is going to be a good thing), but we have to make sure we have a solid and clear process.<br>><br>> Given the urgency of the request and the fact that it is the first one, we can explicitly shortcut some of the steps (like the public consultation period)<br>
><br>> BUT we have to:<br>><br>> a) make it come from a special page on the OWASP website<br>> b) present it as an experiment (where we are still trying to figure out the rules of engagement)<br>><br>> Dinis Cruz<br>
><br>> On 26 Jun 2010, at 18:38, Jeff Williams <<a href="mailto:jeff.williams@owasp.org" target="_blank">jeff.williams@owasp.org</a>> wrote:<br>><br>> It's not fair to preempt their press release.<br>
><br>> --Jeff<br>><br>> Jeff Williams<br>> Aspect Security<br>> work: 410-707-1487<br>> main: 301-604-4882<br>><br>><br>><br>> On Jun 25, 2010, at 4:52 PM, dinis cruz <<a href="mailto:dinis.cruz@owasp.org" target="_blank">dinis.cruz@owasp.org</a>> wrote:<br>
><br>> Have they seen your quote?<br>><br>> Due to the time restraints, then lets publish the first ideas on how this could work in the Wiki at the same time that we give them the quote.<br>><br>> In fact they should get the quote from the Wiki<br>
><br>> Dinis Cruz<br>><br>> On 25 Jun 2010, at 21:25, Jeff Williams <<a href="mailto:jeff.williams@owasp.org" target="_blank">jeff.williams@owasp.org</a>> wrote:<br>><br>> They’re on kind of a short burn for this particular quote.  How about we give them the quote and then put that infrastructure in place afterwards.<br>
><br>> --Jeff<br>><br>><br>> From: dinis cruz [mailto:<a href="mailto:dinis.cruz@owasp.org" target="_blank">dinis.cruz@owasp.org</a>]<br>> Sent: Friday, June 25, 2010 1:28 PM<br>> To: Jeff Williams<br>
> Cc: OWASP Foundation Board List<br>> Subject: Re: [Owasp-board] Need guidance on providing OWASP quote to Veracode<br>><br>> Hi Jeff,<br>><br>> I definitely think that OWASP should have 'on the record' quotes about what 3rd parties are doing with OWASP's projects.<br>
><br>> In terms of workflow and rules, I would like to propose that:<br>><br>>       • All quotes are placed in specific locations of the OWASP Wiki (i.e. on a dedicated pages which could be global to OWASP or project specific) where it is obvious that those are OWASP Official quotes (this page should be protected from non-wiki-admin edits)<br>
>       • For each 'official OWASP quote' there should be a period of  consultation where all interrest parties have the opportunity to 'on the record' comment (namely OWASP Committee members and leaders)<br>
>       • The first pass at the 'quote' should be made by the board or a committee that we delegate the responsibility (maybe the Industry one (when it becomes alive again))<br>>       • After the consultation period, the board has final decision on the final wording of the text<br>
>       • There are cases where the 'OWASP official quote' will probably be 'OWASP has no comment on this topic'<br>> What do you think? We should use this Veracode request to try this out (which again should be presented to our community as an 'experiment')<br>
><br>> Dinis Cruz<br>><br>><br>> On 24 June 2010 03:35, Jeff Williams <<a href="mailto:jeff.williams@owasp.org" target="_blank">jeff.williams@owasp.org</a>> wrote:<br>> Here’s the background.  Veracode is going to start supporting the OWASP T10 output format.  They are making a big deal about how OWASP has grown to achieve widespread industry acceptance, blah blah blah…  They are also pushing a clear message that gaining assurance involves a combination of both automated and manual testing.<br>
><br>> On the call, I asked them whether they would be willing to be very clear about exactly which of the OWASP T10 recommendations their product/service verifies.  This was my minimum bar for participating.  At the high end, I asked if they would go through the ASVS and indicate which of those they can verify.<br>
><br>> Essentially, all they’re doing is what everyone does: say that their service solves the OWASP T10.   I think we should ONLY support these statements if the vendor is willing to FULLY disclose exactly what their coverage is and how it is achieved.  That goes right to the core of the issue we’ve been discussing.  I think we can support these commercial vendors as long as they do their part in making security *visible*.<br>
><br>> So they’ve asked me for a quote.  Assuming they disclose, I’m thinking something like…<br>><br>> “The OWASP Foundation is pleased that Veracode will support the Top 10. Managing application security requires an understanding of what has been checked and what has not. Veracode’s message of transparency and combining both manual and automated verification techniques stand in stark contrast to those product vendors that wrongly and dangerously assert complete Top 10 coverage and compliance.”<br>
><br>> VOTE: Do you think OWASP should issue quotes like this when vendors do something that 1) involves OWASP and 2) is basically in line with our principles.  Or should we just stay clear.<br>><br>> --Jeff<br>
><br>> Jeff Williams, Chair<br>> The OWASP Foundation<br>> work: 410-707-1487<br>> main: 301-604-4882<br>><br>><br>> _______________________________________________<br>> Owasp-board mailing list<br>
> <a href="mailto:Owasp-board@lists.owasp.org" target="_blank">Owasp-board@lists.owasp.org</a><br>> <a href="https://lists.owasp.org/mailman/listinfo/owasp-board" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a><br>
><br>><br>> _______________________________________________<br>> Owasp-board mailing list<br>> <a href="mailto:Owasp-board@lists.owasp.org" target="_blank">Owasp-board@lists.owasp.org</a><br>> <a href="https://lists.owasp.org/mailman/listinfo/owasp-board" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a><br>
><br>><br><br></div></div></blockquote></div><br></div></div></div></div><br>_______________________________________________<br>Owasp-board mailing list<br><a href="mailto:Owasp-board@lists.owasp.org">Owasp-board@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-board" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a><br><br></blockquote></div><br><br clear="all"><br>-- <br>Eoin Keary<br>OWASP Global Board Member<br>
OWASP Code Review Guide Lead Author<br><br>Sent from my i-Transmogrifier<br><a href="http://asg.ie/">http://asg.ie/</a><br><a href="https://twitter.com/EoinKeary">https://twitter.com/EoinKeary</a><br>