At the moment the decision/question is IF we should be doing this or NOT.<div><br clear="all">The operational impact (and the operational rules) are something that will need to be sorted out in the next couple months (as we try this out).</div>
<div><br></div><div>We should have a review of this process in 3/6 months time and by then it should be obvious how this work, what type of effort is required and if that effort makes sense</div><div><br>Dinis Cruz<br><br>
<br><div class="gmail_quote">On 20 July 2010 14:40, Seba <span dir="ltr"><<a href="mailto:seba@owasp.org">seba@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
ok, you have a point. With the highlighting this can be interpreted<br>
differently, and then I would move towards YESNC or YES.<br>
<br>
I have to think about this: can we have an idea on operational impact<br>
and put this up for vote during the next board meeting (Mon Aug-2 ?)<br>
<font color="#888888"><br>
--Seba<br>
</font><div><div></div><div class="h5"><br>
<br>
<br>
<br>
On Tue, Jul 20, 2010 at 3:26 PM, dinis cruz <<a href="mailto:dinis.cruz@owasp.org">dinis.cruz@owasp.org</a>> wrote:<br>
> See I actually see this the other way around. This is not about OWASP giving<br>
> quotes to other companies, but about OWASP controlling the message (which is<br>
> something that we don't do at the moment). It is also a way to gradually<br>
> increase the pressure on commercial vendors around the OWASP and WebAppSec<br>
> community to do the right thing (remember that we control the message here<br>
> and can use it strategically to change the market)<br>
> This is the opportunity that OWASP has to set 'on the record' comments about<br>
> what is going on. Yes sometimes this will mean that we should say "that<br>
> company or group of companies over there is doing a good job around OWASP<br>
> Project XYZ", BUT it also allows us to say "OWASP does not agree with what<br>
> is going on over there" or "That is for the market to decide" or "project<br>
> XYZ is current NOT correct represented/understood by the industry (for<br>
> example Top 10 used as a standard)"<br>
> In fact, If we don't at least have this facility (to create this quotes)<br>
> then what we are left with is even worse. The only people 'talking' will be<br>
> the vendors and their marketing departments.<br>
> Also note that this also applies to other types of<br>
> companies, organizations and communities that are part of the OWASP<br>
> community. If we vote NO on this one, then does that mean that we can't<br>
> produce a quote on Boing's recent copyright assignment to OWASP, or<br>
> SalesForce OWASP Security Ecosystem participation or Facebook's EASPI<br>
> reference implementation?<br>
> And If you vote NO, you will not be able to complain in the future about an<br>
> abuse of the OWASP brand and projects, since there is nothing we can't do<br>
> about it.<br>
> Look at Jeff's quote again (my highlights in bold):<br>
> "So let's vote on whether to do this at all. Should OWASP produce<br>
> quotes about things that help our mission, promote application security,<br>
> promote<br>
> OWASP, are consistent with our ethics and principles, are not biased<br>
> towards a single vendor, and do not endorse a vendor. This might include<br>
> commercial<br>
> services like Veracode's service"<br>
> My only issues are operational and those will be sorted in time (and via the<br>
> reaction of the community). And again, this is an experiment that can be<br>
> voted out in the future (if it has been proved that it doesn't work)<br>
> In some ways this is actually providing these external companies<br>
> and organizations a WAY to work with OWASP. At the moment we have no clear<br>
> guidance for how to behave around OWASP and my fear of not doing this, is<br>
> that we will be sending a message to the rest of our community that "you<br>
> cannot work with OWASP and you are free to come up with what ever your<br>
> marketing department thinks they can get away with"<br>
> Veracode's case was actually a good example of this starting to work well,<br>
> since for the first time we had a vendor 'talking' to OWASP and trying to<br>
> figure out the best way forward. And if you look at Jeff's original proposal<br>
> comment it was 'loaded' in a very powerful way, since it was sending an<br>
> indirect message to the other players in that industry that they should be<br>
> doing the same think.<br>
> The final point I would like to make, is that these quotes could become a<br>
> great 'asset' for OWASP (and if you look around we don't have THAT many<br>
> assets), since the moment companies play the game, is the moment those<br>
> companies have vested interrest in continuing their positive behaviour (or<br>
> risk the backlack of having a 'negative quote' or 'quote removal' problem)<br>
> Dinis Cruz<br>
><br>
> On 20 July 2010 06:03, Seba <<a href="mailto:seba@owasp.org">seba@owasp.org</a>> wrote:<br>
>><br>
>> I've understood it this way. It's just too slippery a road to have<br>
>> owasp put out quotes on external organisations' commercial offerings<br>
>><br>
>> to the extreme: should owasp 'quote' they like the esapi services<br>
>> company x, y or z is offering. or O2?<br>
>> I think these companies can do that themselves, and if they are smart<br>
>> link themselves through membership / direct project or chapter<br>
>> sponsoring<br>
>><br>
>> I think it is more 'loaded' to put out an owasp quote than to have a<br>
>> list (moderated or not) of organisations performing services linked to<br>
>> owasp projects<br>
>><br>
>> --Seba<br>
>><br>
>> On Tue, Jul 20, 2010 at 5:56 AM, Jeff Williams <<a href="mailto:jeff.williams@owasp.org">jeff.williams@owasp.org</a>><br>
>> wrote:<br>
>> > Just to be totally clear here...<br>
>> ><br>
>> > 1. As I've explained before, I believe we need to unite our ecosystem<br>
>> > (open<br>
>> > and commercial) if we are to make progress against insecure software.<br>
>> > Not by<br>
>> > compromising our principles, but by figuring how open and commercial can<br>
>> > live together peacefully. This proposal is a much less dangerous way to<br>
>> > start than the others we've discussed.<br>
>> ><br>
>> > 2. We wouldn't be endorsing or recommending anything. At most it would<br>
>> > be an<br>
>> > indirect promotion of an organization, by complimenting (or criticizing)<br>
>> > something that they are doing that is directly beneficial (or harmful)<br>
>> > to<br>
>> > our mission.<br>
>> ><br>
>> > Ordinarily, I wouldn't interfere with a vote in progress, but Seba's<br>
>> > note<br>
>> > made me think that perhaps I hadn't explained well enough.  Thanks for<br>
>> > your<br>
>> > patience.<br>
>> ><br>
>> > --Jeff<br>
>> ><br>
>> > -----Original Message-----<br>
>> > From: <a href="mailto:sebastien.deleersnyder@gmail.com">sebastien.deleersnyder@gmail.com</a><br>
>> > [mailto:<a href="mailto:sebastien.deleersnyder@gmail.com">sebastien.deleersnyder@gmail.com</a>] On Behalf Of Seba<br>
>> > Sent: Monday, July 19, 2010 11:30 PM<br>
>> > To: dinis cruz<br>
>> > Cc: Jeff Williams; OWASP Foundation Board List; Dan Cornell; Cornell Dan<br>
>> > Subject: Re: [Owasp-board] VOTE: OWASP Quotes<br>
>> ><br>
>> > NO, which is in line with our mission "... OWASP Foundation does not<br>
>> > endorse or recommend commercial products or services allowing our<br>
>> > community to remain vendor agnostic with the collective wisdom of the<br>
>> > best minds in application security worldwide."<br>
>> ><br>
>> > I don't see the value for OWASP to promote commercial services from<br>
>> > vendors, which they are perfectly able to do themselves.<br>
>> ><br>
>> > --Seba<br>
>> ><br>
>> ><br>
>> > On Tue, Jul 20, 2010 at 2:29 AM, dinis cruz <<a href="mailto:dinis.cruz@owasp.org">dinis.cruz@owasp.org</a>><br>
>> > wrote:<br>
>> >> YES, we need to give this a go since it is critical for OWASP's future<br>
>> > that<br>
>> >> we (eventually) get a model that works and is accepted fully by the<br>
>> >> community (in fact we are already late on this, but it's better late<br>
>> >> than<br>
>> >> ever).<br>
>> >> There are a number of Governance issues that we need to fine tune (and<br>
>> >> create guidelines for), but for the key decision regarding OWASP's 'on<br>
>> >> the<br>
>> >> record' quotes, it is an absolute YES from me<br>
>> >> Thanks Jeff for keeping this alive (I actually though yesterday about<br>
>> >> pinging you about this :)  )<br>
>> >><br>
>> >> Dinis Cruz<br>
>> >><br>
>> >><br>
>> >><br>
>> >><br>
>> >> On 19 July 2010 23:58, Jeff Williams <<a href="mailto:jeff.williams@owasp.org">jeff.williams@owasp.org</a>> wrote:<br>
>> >>><br>
>> >>> All,<br>
>> >>><br>
>> >>> I'd like to run this to ground. I think we've agreed that if we do<br>
>> >>> this,<br>
>> >>> there should be a centralized (experimental-for-now) quote page on the<br>
>> >>> wiki<br>
>> >>> that will allow for some notice-and-comment by OWASP Leaders before a<br>
>> >>> quote<br>
>> >>> is made official.<br>
>> >>><br>
>> >>> So let's vote on whether to do this at all. Should OWASP produce<br>
>> >>> quotes<br>
>> >>> about things that help our mission, promote application security,<br>
>> >>> promote<br>
>> >>> OWASP, are consistent with our ethics and principles, are not biased<br>
>> >>> towards<br>
>> >>> a single vendor, and do not endorse a vendor. This might include<br>
>> >>> commercial<br>
>> >>> services like Veracode's service (see voting options below)<br>
>> >>> (appreciate<br>
>> >>> your<br>
>> >>> input on this Dan)<br>
>> >>><br>
>> >>> YES - sure, OWASP can issue quotes according to the rules above<br>
>> >>> because<br>
>> >>> it's<br>
>> >>> good for the application security market overall, which helps our<br>
>> > mission.<br>
>> >>><br>
>> >>> NO - no way, OWASP should never issue quotes about commercial entities<br>
>> >>> as<br>
>> >>> it<br>
>> >>> leads us down an awful sticky path that will tarnish our reputation<br>
>> >>> forever.<br>
>> >>><br>
>> >>> YESNC - OWASP should only issue quotes about non-commercial projects<br>
>> >>> and<br>
>> >>> efforts.<br>
>> >>><br>
>> >>> I'll take the lead if we decide this is a good function for OWASP to<br>
>> >>> do.<br>
>> >>><br>
>> >>> Thanks,<br>
>> >>><br>
>> >>> --Jeff<br>
>> >>><br>
>> >>> Jeff Williams, Chair<br>
>> >>> The OWASP Foundation<br>
>> >>> work: 410-707-1487<br>
>> >>> main: 301-604-4882<br>
>> >>><br>
>> >>><br>
>> >>> -----Original Message-----<br>
>> >>> From: Dan Cornell [mailto:<a href="mailto:dan@denimgroup.com">dan@denimgroup.com</a>]<br>
>> >>> Sent: Monday, June 28, 2010 1:43 PM<br>
>> >>> To: Brennan - OWASP; Jeff Williams<br>
>> >>> Cc: 'dinis cruz'; 'OWASP Foundation Board List'; 'Cornell Dan'; Dan<br>
>> >>> Cornell<br>
>> >>> Subject: RE: [Owasp-board] Need guidance on providing OWASP quote to<br>
>> >>> Veracode<br>
>> >>><br>
>> >>><br>
>> >>> I might not know the full details of this current situation, but it<br>
>> >>> seems<br>
>> >>> like we might want to approach from the other direction via the OWASP<br>
>> >>> Commercial Services Registry.  Organization can provide as much<br>
>> >>> transparency<br>
>> >>> and guidance on how their products and services relate to OWASP, but<br>
>> > OWASP<br>
>> >>> doesn't have to take a stand on how well they do what they say - just<br>
>> >>> provide them a platform with a caveat.<br>
>> >>><br>
>> >>> To _really_ verify that Veracode (or anyone) truly tests for OWASP Top<br>
>> >>> 10<br>
>> >>> or<br>
>> >>> OWASP ASVS Level XYZ would be a huge burden on OWASP and still open to<br>
>> >>> interpretation.  It is hard to see how this won't be quickly misused<br>
>> >>> and<br>
>> >>> then OWASP leadership will have to start making determinations of<br>
>> >>> which<br>
>> >>> organizations are in-line with OWASP's values.  We (Denim Group)<br>
>> >>> include<br>
>> >>> some reporting about OWASP Top 10 in our assessments reports.  I'd<br>
>> >>> love<br>
>> > to<br>
>> >>> have a quote from Jeff Williams saying what a great job we do  :)  But<br>
>> >>> that's not the right way to approach.  I'd rather provide guidance on<br>
>> >>> how<br>
>> >>> we<br>
>> >>> do testing and why we think this is great via the Commercial Services<br>
>> >>> Registry and let folks evaluate as they see fit.<br>
>> >>><br>
>> >>> It would be hard enough to find the "OWASP voice" for general industry<br>
>> >>> issues like certification.  When we mix vendor and independence issues<br>
>> >>> into<br>
>> >>> the discussion we're treading on dangerous ground.<br>
>> >>><br>
>> >>> Thanks,<br>
>> >>><br>
>> >>> Dan<br>
>> >>><br>
>> >>><br>
>> >>><br>
>> >>> > I would support that at this point stage of OWASP Foundation.<br>
>> >>> ><br>
>> >>> > Take a look at the most current list:<br>
>> >>> ><br>
>> >>> ><br>
>> >>> > <a href="http://www.owasp.org/index.php/Membership#Current_OWASP_Organization_Su" target="_blank">http://www.owasp.org/index.php/Membership#Current_OWASP_Organization_Su</a><br>
>> >>> > pporters_.26_Individual_Members<br>
>> >>> ><br>
>> >>> > What can you say about EVERYONE?<br>
>> >>> ><br>
>> >>> > Since we do not endorse anyone, we can say these firms have<br>
>> >>> > demonstrated an alliance to the goals and mission of OWASP.  Maybe<br>
>> >>> > we<br>
>> >>> > send them a signed letter thanking them for the support<br>
>> >>> ><br>
>> >>> ><br>
>> >>> ><br>
>> >>> > On Jun 28, 2010, at 1:01 PM, Jeff Williams wrote:<br>
>> >>> ><br>
>> >>> > > I'll follow up with them today about this and ask if they've made<br>
>> >>> > > any<br>
>> >>> > progress on their claimed transparency.  As I mentioned at the<br>
>> >>> > outset,<br>
>> >>> > if they're not transparent about what they cover and what they do,<br>
>> >>> > then<br>
>> >>> > I don't think the quote is justified.<br>
>> >>> > ><br>
>> >>> > > Tom, were you suggesting that we shouldn't do *any* quote about<br>
>> >>> > companies that are non-members?<br>
>> >>> > ><br>
>> >>> > > --Jeff<br>
>> >>> > ><br>
>> >>> > ><br>
>> >>> > > From: dinis cruz [mailto:<a href="mailto:dinis.cruz@owasp.org">dinis.cruz@owasp.org</a>]<br>
>> >>> > > Sent: Monday, June 28, 2010 9:53 AM<br>
>> >>> > > To: Brennan - OWASP<br>
>> >>> > > Cc: Jeff Williams; OWASP Foundation Board List; Cornell Dan<br>
>> >>> > > Subject: Re: [Owasp-board] Need guidance on providing OWASP quote<br>
>> >>> > > to<br>
>> >>> > Veracode<br>
>> >>> > ><br>
>> >>> > > Sorry last email was sent to soon, the last comment I was making<br>
>> >>> > > was<br>
>> >>> > (new bit in bold):<br>
>> >>> > ><br>
>> >>> > > ... And yes, your list of firms around OWASP is just a small<br>
>> >>> > > subset<br>
>> >>> > of the companies that would want to play this game (note how Jeff's<br>
>> >>> > quote (which eventually will become OWASP's quote) is sending a<br>
>> >>> > 'parallel' message that 'some' product companies are dangerously<br>
>> >>> > asserting Top 10 coverage and compliance<br>
>> >>> > ><br>
>> >>> > > Dinis Cruz<br>
>> >>> > ><br>
>> >>> > ><br>
>> >>> > > On 28 June 2010 14:50, dinis cruz <<a href="mailto:dinis.cruz@owasp.org">dinis.cruz@owasp.org</a>> wrote:<br>
>> >>> > > We need to have both quotes<br>
>> >>> > ><br>
>> >>> > > one that is generic for each type of user or type of usage of<br>
>> >>> > > OWASP<br>
>> >>> > materials<br>
>> >>> > > one that is specific to a particular scenario (like the Veracode<br>
>> >>> > > one)<br>
>> >>> > > For reference here is the original quote that Jeff proposed that<br>
>> >>> > > we<br>
>> >>> > gave Veracode:<br>
>> >>> > ><br>
>> >>> > > "The OWASP Foundation is pleased that Veracode will support the<br>
>> >>> > > Top<br>
>> >>> > 10. Managing application security requires an understanding of what<br>
>> >>> > has<br>
>> >>> > been checked and what has not. Veracode's message of transparency<br>
>> >>> > and<br>
>> >>> > combining both manual and automated verification techniques stand in<br>
>> >>> > stark contrast to those product vendors that wrongly and dangerously<br>
>> >>> > assert complete Top 10 coverage and compliance."<br>
>> >>> > ><br>
>> >>> > > I think this is a very important quote for OWASP to be providing<br>
>> >>> > > and<br>
>> >>> > we need to do it.<br>
>> >>> > ><br>
>> >>> > > BUT (as I said in previous emails) we need to do this under a<br>
>> >>> > > clear<br>
>> >>> > process and (in the beginning) under a 'this is an experiment'<br>
>> >>> > banner'<br>
>> >>> > ><br>
>> >>> > > And yes, your list of firms around OWASP is just a small subset of<br>
>> >>> > the companies that would want to play this game (note how Jeff's<br>
>> >>> > quote<br>
>> >>> > (which eventually will become OWASP's q<br>
>> >>> > ><br>
>> >>> > ><br>
>> >>> > > Dinis Cruz<br>
>> >>> > ><br>
>> >>> > > Blog: <a href="http://diniscruz.blogspot.com" target="_blank">http://diniscruz.blogspot.com</a><br>
>> >>> > > Twitter: <a href="http://twitter.com/DinisCruz" target="_blank">http://twitter.com/DinisCruz</a><br>
>> >>> > > Web: <a href="http://www.owasp.org/index.php/O2" target="_blank">http://www.owasp.org/index.php/O2</a><br>
>> >>> > ><br>
>> >>> > ><br>
>> >>> > ><br>
>> >>> > > On 28 June 2010 14:44, Brennan - OWASP <<a href="mailto:tomb@owasp.org">tomb@owasp.org</a>> wrote:<br>
>> >>> > > Sounds like you are suggesting a (3) generic or blanket quote to<br>
>> >>> > > be<br>
>> >>> > used by corporate, university and industry  sponsors in unification<br>
>> >>> > of<br>
>> >>> > the Owasp mission<br>
>> >>> > ><br>
>> >>> > > Look at core firms look around the room<br>
>> >>> > ><br>
>> >>> > > Aspect<br>
>> >>> > > WhiteHat<br>
>> >>> > > Trustwave<br>
>> >>> > > Denim<br>
>> >>> > > Fortify<br>
>> >>> > > Veracode<br>
>> >>> > > Columbia<br>
>> >>> > > NYC poly<br>
>> >>> > > Salesforce<br>
>> >>> > > <insert>....<br>
>> >>> > ><br>
>> >>> > > Keep it simple.  As a value of membership you get to use one of<br>
>> >>> > > these<br>
>> >>> > in releases as you are a recognized supporter.  If you want to hire<br>
>> >>> > or<br>
>> >>> > retain PR company they would tell you the same ( I just called a<br>
>> >>> > buddy<br>
>> >>> > in the PR industry for her thoughts )<br>
>> >>> > ><br>
>> >>> > > Tom Brennan<br>
>> >>> > > 973-506-9303<br>
>> >>> > ><br>
>> >>> > ><br>
>> >>> > > On Jun 28, 2010, at 9:14 AM, dinis cruz <<a href="mailto:dinis.cruz@owasp.org">dinis.cruz@owasp.org</a>><br>
>> >>> > > wrote:<br>
>> >>> > ><br>
>> >>> > > I don't think that faireness is the issue here , but the process<br>
>> >>> > > of<br>
>> >>> > how we do this (and we need to look at this from OWASP's point if<br>
>> >>> > view,<br>
>> >>> > not from veracode's)<br>
>> >>> > ><br>
>> >>> > > I don't see how we can deliver these 'official OWASP quotes'<br>
>> >>> > > outside<br>
>> >>> > of our website!<br>
>> >>> > ><br>
>> >>> > > What would be the delivery mechanism? An email from a board<br>
>> >>> > > member?<br>
>> >>> > An email from an OWASP employee? Is that email that will make it an<br>
>> >>> > official OWASP quote?<br>
>> >>> > ><br>
>> >>> > > Some of these opinions have the potential to generate some<br>
>> >>> > controversy (which in some cases is going to be a good thing), but<br>
>> >>> > we<br>
>> >>> > have to make sure we have a solid and clear process.<br>
>> >>> > ><br>
>> >>> > > Given the urgency of the request and the fact that it is the first<br>
>> >>> > one, we can explicitly shortcut some of the steps (like the public<br>
>> >>> > consultation period)<br>
>> >>> > ><br>
>> >>> > > BUT we have to:<br>
>> >>> > ><br>
>> >>> > > a) make it come from a special page on the OWASP website<br>
>> >>> > > b) present it as an experiment (where we are still trying to<br>
>> >>> > > figure<br>
>> >>> > out the rules of engagement)<br>
>> >>> > ><br>
>> >>> > > Dinis Cruz<br>
>> >>> > ><br>
>> >>> > > On 26 Jun 2010, at 18:38, Jeff Williams <<a href="mailto:jeff.williams@owasp.org">jeff.williams@owasp.org</a>><br>
>> >>> > wrote:<br>
>> >>> > ><br>
>> >>> > > It's not fair to preempt their press release.<br>
>> >>> > ><br>
>> >>> > > --Jeff<br>
>> >>> > ><br>
>> >>> > > Jeff Williams<br>
>> >>> > > Aspect Security<br>
>> >>> > > work: 410-707-1487<br>
>> >>> > > main: 301-604-4882<br>
>> >>> > ><br>
>> >>> > ><br>
>> >>> > ><br>
>> >>> > > On Jun 25, 2010, at 4:52 PM, dinis cruz <<a href="mailto:dinis.cruz@owasp.org">dinis.cruz@owasp.org</a>><br>
>> >>> > > wrote:<br>
>> >>> > ><br>
>> >>> > > Have they seen your quote?<br>
>> >>> > ><br>
>> >>> > > Due to the time restraints, then lets publish the first ideas on<br>
>> >>> > > how<br>
>> >>> > this could work in the Wiki at the same time that we give them the<br>
>> >>> > quote.<br>
>> >>> > ><br>
>> >>> > > In fact they should get the quote from the Wiki<br>
>> >>> > ><br>
>> >>> > > Dinis Cruz<br>
>> >>> > ><br>
>> >>> > > On 25 Jun 2010, at 21:25, Jeff Williams <<a href="mailto:jeff.williams@owasp.org">jeff.williams@owasp.org</a>><br>
>> >>> > wrote:<br>
>> >>> > ><br>
>> >>> > > They're on kind of a short burn for this particular quote.  How<br>
>> >>> > > about<br>
>> >>> > we give them the quote and then put that infrastructure in place<br>
>> >>> > afterwards.<br>
>> >>> > ><br>
>> >>> > > --Jeff<br>
>> >>> > ><br>
>> >>> > ><br>
>> >>> > > From: dinis cruz [mailto:<a href="mailto:dinis.cruz@owasp.org">dinis.cruz@owasp.org</a>]<br>
>> >>> > > Sent: Friday, June 25, 2010 1:28 PM<br>
>> >>> > > To: Jeff Williams<br>
>> >>> > > Cc: OWASP Foundation Board List<br>
>> >>> > > Subject: Re: [Owasp-board] Need guidance on providing OWASP quote<br>
>> >>> > > to<br>
>> >>> > Veracode<br>
>> >>> > ><br>
>> >>> > > Hi Jeff,<br>
>> >>> > ><br>
>> >>> > > I definitely think that OWASP should have 'on the record' quotes<br>
>> >>> > about what 3rd parties are doing with OWASP's projects.<br>
>> >>> > ><br>
>> >>> > > In terms of workflow and rules, I would like to propose that:<br>
>> >>> > ><br>
>> >>> > >     * All quotes are placed in specific locations of the OWASP<br>
>> >>> > > Wiki<br>
>> >>> > (i.e. on a dedicated pages which could be global to OWASP or project<br>
>> >>> > specific) where it is obvious that those are OWASP Official quotes<br>
>> >>> > (this page should be protected from non-wiki-admin edits)<br>
>> >>> > >     * For each 'official OWASP quote' there should be a period of<br>
>> >>> > consultation where all interrest parties have the opportunity to 'on<br>
>> >>> > the record' comment (namely OWASP Committee members and leaders)<br>
>> >>> > >     * The first pass at the 'quote' should be made by the board or<br>
>> >>> > > a<br>
>> >>> > committee that we delegate the responsibility (maybe the Industry<br>
>> >>> > one<br>
>> >>> > (when it becomes alive again))<br>
>> >>> > >     * After the consultation period, the board has final decision<br>
>> >>> > > on<br>
>> >>> > the final wording of the text<br>
>> >>> > >     * There are cases where the 'OWASP official quote' will<br>
>> >>> > > probably<br>
>> >>> > be 'OWASP has no comment on this topic'<br>
>> >>> > > What do you think? We should use this Veracode request to try this<br>
>> >>> > out (which again should be presented to our community as an<br>
>> >>> > 'experiment')<br>
>> >>> > ><br>
>> >>> > > Dinis Cruz<br>
>> >>> > ><br>
>> >>> > ><br>
>> >>> > > On 24 June 2010 03:35, Jeff Williams <<a href="mailto:jeff.williams@owasp.org">jeff.williams@owasp.org</a>><br>
>> >>> > > wrote:<br>
>> >>> > > Here's the background.  Veracode is going to start supporting the<br>
>> >>> > OWASP T10 output format.  They are making a big deal about how OWASP<br>
>> >>> > has grown to achieve widespread industry acceptance, blah blah<br>
>> >>> > blah...<br>
>> >>> > They are also pushing a clear message that gaining assurance<br>
>> >>> > involves a<br>
>> >>> > combination of both automated and manual testing.<br>
>> >>> > ><br>
>> >>> > > On the call, I asked them whether they would be willing to be very<br>
>> >>> > clear about exactly which of the OWASP T10 recommendations their<br>
>> >>> > product/service verifies.  This was my minimum bar for<br>
>> >>> > participating.<br>
>> >>> > At the high end, I asked if they would go through the ASVS and<br>
>> >>> > indicate<br>
>> >>> > which of those they can verify.<br>
>> >>> > ><br>
>> >>> > > Essentially, all they're doing is what everyone does: say that<br>
>> >>> > > their<br>
>> >>> > service solves the OWASP T10.   I think we should ONLY support these<br>
>> >>> > statements if the vendor is willing to FULLY disclose exactly what<br>
>> >>> > their coverage is and how it is achieved.  That goes right to the<br>
>> >>> > core<br>
>> >>> > of the issue we've been discussing.  I think we can support these<br>
>> >>> > commercial vendors as long as they do their part in making security<br>
>> >>> > *visible*.<br>
>> >>> > ><br>
>> >>> > > So they've asked me for a quote.  Assuming they disclose, I'm<br>
>> >>> > thinking something like...<br>
>> >>> > ><br>
>> >>> > > "The OWASP Foundation is pleased that Veracode will support the<br>
>> >>> > > Top<br>
>> >>> > 10. Managing application security requires an understanding of what<br>
>> >>> > has<br>
>> >>> > been checked and what has not. Veracode's message of transparency<br>
>> >>> > and<br>
>> >>> > combining both manual and automated verification techniques stand in<br>
>> >>> > stark contrast to those product vendors that wrongly and dangerously<br>
>> >>> > assert complete Top 10 coverage and compliance."<br>
>> >>> > ><br>
>> >>> > > VOTE: Do you think OWASP should issue quotes like this when<br>
>> >>> > > vendors<br>
>> >>> > do something that 1) involves OWASP and 2) is basically in line with<br>
>> >>> > our principles.  Or should we just stay clear.<br>
>> >>> > ><br>
>> >>> > > --Jeff<br>
>> >>> > ><br>
>> >>> > > Jeff Williams, Chair<br>
>> >>> > > The OWASP Foundation<br>
>> >>> > > work: 410-707-1487<br>
>> >>> > > main: 301-604-4882<br>
>> >>> > ><br>
>> >>> > ><br>
>> >>> > > _______________________________________________<br>
>> >>> > > Owasp-board mailing list<br>
>> >>> > > <a href="mailto:Owasp-board@lists.owasp.org">Owasp-board@lists.owasp.org</a><br>
>> >>> > > <a href="https://lists.owasp.org/mailman/listinfo/owasp-board" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a><br>
>> >>> > ><br>
>> >>> > ><br>
>> >>> > > _______________________________________________<br>
>> >>> > > Owasp-board mailing list<br>
>> >>> > > <a href="mailto:Owasp-board@lists.owasp.org">Owasp-board@lists.owasp.org</a><br>
>> >>> > > <a href="https://lists.owasp.org/mailman/listinfo/owasp-board" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a><br>
>> >>> > ><br>
>> >>> > ><br>
>> >>> ><br>
>> >>><br>
>> >>><br>
>> >><br>
>> >><br>
>> >> _______________________________________________<br>
>> >> Owasp-board mailing list<br>
>> >> <a href="mailto:Owasp-board@lists.owasp.org">Owasp-board@lists.owasp.org</a><br>
>> >> <a href="https://lists.owasp.org/mailman/listinfo/owasp-board" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a><br>
>> >><br>
>> >><br>
>> ><br>
>> ><br>
><br>
><br>
</div></div></blockquote></div><br></div>