<html>
  <head>
    <meta content="text/html; charset=UTF-8" http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    I see code flagship projects as being<br>
    <br>
    Dependency Check<br>
    OWASP HTML Sanitizer<br>
    Maybe AntiSamy if they clean their bugs<br>
    OWASP Java Encoder <br>
    OWASP JSON Sanitizer<br>
    <br>
    THREE of these projects I am project manager of, I applied to get
    them reviewed last year and they are all still stuck in incubator
    stage. I'm miffed at best. There is so little benefit to doing all
    of this at OWASP I am inclined to shift them all to Apache where
    they will get real visibility and support. Josh once said he was not
    going to bring his project to OWASP and it made me HULK LIKE ANGRY
    but I finally see his point.<br>
    <br>
    - Jim<br>
    <br>
    <br>
    <div class="moz-cite-prefix">On 3/28/14, 6:20 PM, Eoin Keary wrote:<br>
    </div>
    <blockquote
      cite="mid:99F655B7-A47A-4A03-A845-899F7BFB3A9C@gmail.com"
      type="cite">
      <meta http-equiv="content-type" content="text/html; charset=UTF-8">
      <div>+1</div>
      <div>Flagships are IMHO</div>
      <div>Zap</div>
      <div>Testing guide</div>
      <div>Ciso</div>
      <div>SAMM</div>
      <div>Education/training</div>
      <div><br>
        <br>
        Eoin Keary
        <div>Owasp Global Board</div>
        <div>+353 87 977 2988</div>
        <div><br>
        </div>
      </div>
      <div><br>
        On 28 Mar 2014, at 09:46, Jim Manico <<a
          moz-do-not-send="true" href="mailto:jim.manico@owasp.org">jim.manico@owasp.org</a>>
        wrote:<br>
        <br>
      </div>
      <blockquote type="cite">
        <div>
          <meta http-equiv="content-type" content="text/html;
            charset=UTF-8">
          This makes me very sad.<br>
          <br>
          <u>Flagship Code Projects</u><br>
          <br>
          * OWASP AntiSamy Project  <  Abandoned, had to pay someone
          to update the wiki, not project leads. Roadmap is from 2011,
          no updates, etc.<br>
          <br>
          * OWASP Enterprise Security API <  Abandoned, wiki out of
          date, old template, no code changes, we paid good money to
          have a codeathon in NYC and got... nothing.<br>
          <br>
          * WASP CSRFGuard Project <  Somewhat being maintained,
          abandoned by author but picked up by another leaders, but is a
          horrific design and only works on the most basic of websites.
          This is a bad bad design for complex web 2.0 applications
          (since it uses JavaScript to inject tokes into the DOM which
          is fraught with error). <br>
          <br>
          * OWASP ModSecurity Core Rule Set Project <  Awesome
          updates, wiki updated by project owner, <a
            moz-do-not-send="true" class="moz-txt-link-freetext"
href="https://www.owasp.org/index.php/Category:OWASP_ModSecurity_Core_Rule_Set_Project">https://www.owasp.org/index.php/Category:OWASP_ModSecurity_Core_Rule_Set_Project</a><br>
          <br>
          I've been helping manage several production quality, highly
          scalable secure coding components (that were written by PhD
          level software engineers) and I'm sad to see them still stuck
          in incubator.  We also have projects like Dependency Check
          that are incredibly fantastic tools, still stuck in incubator.<br>
          <br>
          Samantha has been working hard on this, but every time I see
          our project list it really upsets me because when dev folks
          really try to use these components; it's so far from
          production quality that it makes us look really bad. No wonder
          we can't really get developers to be a part of our community
          or use our stuff.<br>
          <br>
          I am sure I will get flack for this, but I stand by my
          opinions that this is something that is critical to fix at
          OWASP. I was recently trying to get a software company to be
          the first top tier corporate sponsor, but as part of this,
          they looked at our flagship projects and wiki, saw how crusty
          they both were, and said "no way". Sad.<br>
          <br>
          - Jim<br>
        </div>
      </blockquote>
      <blockquote type="cite">
        <div><span>_______________________________________________</span><br>
          <span>Owasp-board mailing list</span><br>
          <span><a moz-do-not-send="true"
              href="mailto:Owasp-board@lists.owasp.org">Owasp-board@lists.owasp.org</a></span><br>
          <span><a moz-do-not-send="true"
              href="https://lists.owasp.org/mailman/listinfo/owasp-board">https://lists.owasp.org/mailman/listinfo/owasp-board</a></span><br>
        </div>
      </blockquote>
    </blockquote>
    <br>
  </body>
</html>