<div dir="ltr"><div>My personal opinion is that this is fine.  The OWASP Top 10 is a published standard and Acunetix is claiming that they are capable of scanning for the issues identified in the OWASP Top 10 standard.  I don't think that we should be responsible for policing whether or not they actually do what they say they do.  With that line being pretty blurry to begin with, I doubt Acunetix is the only company advertising in this manner.  And as long as they're not claiming to be "OWASP Certified", or the like, I think this is not worth pursuing.<br><br></div>~josh<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Nov 14, 2014 at 8:13 PM, Jim Manico <span dir="ltr"><<a href="mailto:jim.manico@owasp.org" target="_blank">jim.manico@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
  

    
  
  <div bgcolor="#FFFFFF" text="#000000">
    Folks,<br>
    <br>
    When we do a google search for "OWASP" I see that Acunetix is
    advertising that they are scanning for the OWASP Top Ten. The ad
    links to
<a href="http://www.acunetix.com/vulnerability-scanner/scan-website-owasp-top-10-risks/" target="_blank">http://www.acunetix.com/vulnerability-scanner/scan-website-owasp-top-10-risks/</a><br>
    <br>
    I think this ad violates the following brand usage guidelines:
<a href="https://www.owasp.org/index.php/Marketing/Resources#The_Brand_Usage_Rules" target="_blank">https://www.owasp.org/index.php/Marketing/Resources#The_Brand_Usage_Rules</a><br>
    <br>
    5) The OWASP Brand must not be used in a manner that suggests that
    The OWASP Foundation supports, advocates, or recommends any
    particular product or technology.
    
    <br>
    <br>
    7) The OWASP Brand must not be used in a manner that suggests that a
    product or technology can enable compliance with any OWASP Materials
    other than an OWASP Published Standard.
    
    <br>
    <br>
    and<br>
    <br>
    8) The OWASP Brand must not be used in any materials that could
    mislead readers by narrowly interpreting a broad application
    security category. For example, a vendor product that can find or
    protect against forced browsing must not claim that they address all
    of the access control category.
    
    <br>
    <br>
    <br>
    I would like to file this with our compliance officer, but I think
    he is over-burdened right now. Do you think this is a clear
    violation and if so, should we approach them in a gentle way with
    suggestions to correct this?<br>
    <br>
    Aloha,<br>
    Jim<br>
    <br>
    <br>
    <br>
    <span style="color:rgb(0,102,33);font-family:arial,sans-serif;font-size:14px;font-style:normal;font-variant:normal;font-weight:normal;letter-spacing:normal;line-height:18px;text-align:left;text-indent:0px;text-transform:none;white-space:nowrap;word-spacing:0px;display:inline!important;float:none;background-color:rgb(255,255,255)"></span>
  </div>

<br>_______________________________________________<br>
Owasp-board mailing list<br>
<a href="mailto:Owasp-board@lists.owasp.org">Owasp-board@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-board" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a><br>
<br></blockquote></div><br></div>