Hi Christian<div><br></div><div>The SWAMP is not a projects from the department of Homeland Security, this initiative is funded by this organization. It is a project form the  University of Wisconsin</div><div><br></div><div>I'm using this to run assesmemts and builds to check the quality of our projects, is free and it works very well for this purpose</div><div>I'm a volunteer and my major goal is to help maintain a healthy level of quality and support to owasp  projects. These kind of tools help us to automate this, this is the reason for using them.</div><div><br></div><div>I just hope this clarifies your point of view regarding  how I  use  swamp for quality assurance and testing</div><div><br></div><div>Regards</div><div><br></div><div>Johanna</div><div><br></div><div><br>On Saturday, May 30, 2015, Christian Heinrich <<a href="mailto:christian.heinrich@cmlh.id.au">christian.heinrich@cmlh.id.au</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Jim,<br>
<br>
I would like to call you out on this too<br>
<a href="https://www.owasp.org/index.php/SWAMP_OWASP" target="_blank">https://www.owasp.org/index.php/SWAMP_OWASP</a> since this OWASP<br>
supporting the Department of Homeland Security :)<br>
<br>
I would OWASP like to reconsider the recent offer from RSA Conference<br>
in view of my recent correspondence i.e.<br>
<a href="http://lists.owasp.org/pipermail/governance/2015-May/000580.html" target="_blank">http://lists.owasp.org/pipermail/governance/2015-May/000580.html</a><br>
<br>
Otherwise, this is unfair and completely bias for OWASP to support one<br>
but not the other who has been proven beyond a reasonable doubt to be<br>
innocent.<br>
<br>
On Sun, Sep 15, 2013 at 10:28 AM, Wong Onn Chee <<a href="javascript:;" onclick="_e(event, 'cvml', 'ocwong@usa.net')">ocwong@usa.net</a>> wrote:<br>
> FYI, folks.<br>
><br>
> Best Regards<br>
> Onn Chee<br>
><br>
> "I say all security vulnerabilities are software-based. Prove me wrong if you dare"<br>
><br>
><br>
><br>
> -------- Original Message --------<br>
> Subject:        [Owasp-leaders] NIST, the NSA and fun with crypto reviews<br>
> Date:   Sat, 14 Sep 2013 19:28:01 -0400<br>
> From:   Jim Manico<br>
><br>
><br>
><br>
> I am personally aborting NIST standards when I can.<br>
><br>
> From AES -> Serpent and Twofish <a href="http://en.wikipedia.org/wiki/Serpent_(cipher)" target="_blank">http://en.wikipedia.org/wiki/Serpent_(cipher)</a> and <a href="http://en.wikipedia.org/wiki/Twofish" target="_blank">http://en.wikipedia.org/wiki/Twofish</a><br>
> From SHA -> Whirlpool <a href="http://en.wikipedia.org/wiki/Whirlpool_(cryptography)" target="_blank">http://en.wikipedia.org/wiki/Whirlpool_(cryptography)</a><br>
><br>
> And as for the NSA subverting crypto standards, take a look at our own experience at the ESAPI for Java project.<br>
><br>
> Back in June 2010 the NSA graciously agreed to review the crypto of the ESAPI for Java project:<br>
><br>
>> [Esapi-dev] NSA to perform ESAPI review<br>
>> <a href="http://lists.owasp.org/pipermail/esapi-dev/2010-June/000816.html" target="_blank">http://lists.owasp.org/pipermail/esapi-dev/2010-June/000816.html</a><br>
><br>
> The made a few suggestions to make it "stronger" but otherwise validated our implementation.<br>
><br>
> Now flash forward to this month.<br>
><br>
>> [Esapi-dev] ESAPI Java and Authenticated encryption implementation<br>
>> <a href="http://lists.owasp.org/pipermail/esapi-dev/2013-August/002285.html" target="_blank">http://lists.owasp.org/pipermail/esapi-dev/2013-August/002285.html</a><br>
><br>
> They did not add anything that was malicious, but Ooops! they missed something important.<br>
><br>
> The has been fixed, however.<br>
><br>
>> [Esapi-dev] Crypto and the "ESAPI for Java" release 2.1.0<br>
>> <a href="http://lists.owasp.org/pipermail/esapi-dev/2013-September/002291.html" target="_blank">http://lists.owasp.org/pipermail/esapi-dev/2013-September/002291.html</a><br>
><br>
> We live in interesting times.<br>
><br>
> Aloha,<br>
> Jim<br>
><br>
>> FYI: From NY Times <<a href="http://j.mp/1degxpA" target="_blank">http://j.mp/1degxpA</a>>:<br>
>><br>
>>> Cryptographers have long suspected that the [NSA] planted vulnerabilities<br>
>>> in a standard adopted in 2006 by the National Institute of Standards and<br>
>>> Technology and later by the International Organization for Standardization,<br>
>>> which has 163 countries as members.<br>
>><br>
>><br>
>> Note that I am explicitly not stating an opinion, just forwarding<br>
>> potentially related information.<br>
>><br>
>><br>
>> On Fri, Sep 13, 2013 at 3:02 PM, Bev Corwin wrote:<br>
>><br>
>>> NIST seeks early adopters of draft cybersecurity framework<br>
>>><br>
>>><br>
>>>  <a href="http://insidecybersecurity.com/Cyber-Daily-News/Daily-News/nist-seeks-early-adopters-of-draft-cybersecurity-framework/menu-id-1075.html#" target="_blank">http://insidecybersecurity.com/Cyber-Daily-News/Daily-News/nist-seeks-early-adopters-of-draft-cybersecurity-framework/menu-id-1075.html#</a>!<br>
>>><br>
>>>  Bev<br>
>>><br>
><br>
> _______________________________________________<br>
> Owasp-singapore mailing list<br>
> <a href="javascript:;" onclick="_e(event, 'cvml', 'Owasp-singapore@lists.owasp.org')">Owasp-singapore@lists.owasp.org</a><br>
> <a href="https://lists.owasp.org/mailman/listinfo/owasp-singapore" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-singapore</a><br>
<br>
<br>
<br>
--<br>
Regards,<br>
Christian Heinrich<br>
<br>
<a href="http://cmlh.id.au/contact" target="_blank">http://cmlh.id.au/contact</a><br>
_______________________________________________<br>
Governance mailing list<br>
<a href="javascript:;" onclick="_e(event, 'cvml', 'Governance@lists.owasp.org')">Governance@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/governance" target="_blank">https://lists.owasp.org/mailman/listinfo/governance</a><br>
</blockquote></div>