<div dir="ltr">"<span style="font-size:12.8px">I would say that for the existing Flagship & LABS (libraries or code) we should run a program through Hackerone or Bugbounty.(off course insecure applications as WebGoat are out of scope ;-))"</span><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px">Yes. This would generate awareness, generate opportunities for new volunteers and put a better control around our prominent code.</span></div></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><br>--<br>Michael Coates | <a href="https://twitter.com/intent/user?screen_name=_mwc" target="_blank">@_mwc</a><br></div><div>OWASP Global Board<br></div><div dir="ltr"><div><br></div><div><br></div><div><br><br></div></div></div></div></div></div></div></div></div>
<br><div class="gmail_quote">On Sat, Nov 21, 2015 at 8:34 AM, johanna curiel curiel <span dir="ltr"><<a href="mailto:johanna.curiel@owasp.org" target="_blank">johanna.curiel@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hi Jim & Board<div><br></div><div>'Developers come to us'... is indeed a moderate approach. I just finalised a security project reviews developed by very serious companies in EU and it amazes me that they were using CRSFGuard and even ESAPI.</div><div><br></div><div>There is a dependency and the reason why the PHPSEC users were angry at OWASP, they were using the project for some serious development of financial applications and counting on OWASP to secure them. </div><div><br></div><div>Since OWASP cannot offer a QA process review of its own projects, we should be careful here and indeed, the approach to help improve existing frameworks is more realistic and has less risks associated with reputation issues to OWASP image </div><div><br></div><div>I would say that for the existing Flagship & LABS (libraries or code) we should run a program through Hackerone or Bugbounty.(off course insecure applications as WebGoat are out of scope ;-))</div><div><br></div><div>Again, maybe the focus should stop in trying to create libraries as Tim said but focus the efforts into working on existing frameworks. </div><div><br></div><div>The reality is that creating security libraries is VERY hard and it has a lot of consequences for OWASP image if serious issues are found as the case of PHPSEC</div><div><br></div><div>regards</div><div><br></div><div>Johanna</div></div><div class="gmail_extra"><br><div class="gmail_quote"><div><div class="h5">On Sat, Nov 21, 2015 at 11:55 AM, Jim Manico <span dir="ltr"><<a href="mailto:jim.manico@owasp.org" target="_blank">jim.manico@owasp.org</a>></span> wrote:<br></div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div class="h5"><div dir="auto"><div>Folks,</div><div><br></div><div>I'm feeling a bit more clarity on suggesting technical resource hires for 2016. Paul, these are just ideas to trigger strategic planning discussions and ideas. I agree that the final decisions around these hires is "all you".  I hope this email is taken in the spirt of "ideas to consider".</div><div><br></div><div>1) Wiki experts (previously discussed)</div><div>2) Web design expert (previously discussed)</div><div>3) Technical contractor or bounties to help augment the security of common software frameworks (big potential here)</div><div>4) Security assurance contractors or bounties to help review OWASP defensive projects<br><br>The whole "developers, come to us" is only modestly effective. "Developers, we want to help and go to you" is a much more effective movement, IMO.</div><div><br></div><div>Thinking a bit out of box here... If we spent significant funds in helping improve common software frameworks for security - we could really have a massive impact on the world at large. I'd love to see serious investment in this area....</div><div><br></div><div>Aloha,<br><div>--</div><div>Jim Manico</div><div><div><div style="word-wrap:break-word"><div><span style="background-color:rgba(255,255,255,0)">Global Board Member</span></div><span style="background-color:rgba(255,255,255,0)">OWASP Foundation</span><div><a href="https://www.owasp.org/" style="background-color:rgba(255,255,255,0)" target="_blank"><font color="#000000">https://www.owasp.org</font></a></div></div></div><div><span style="background-color:rgba(255,255,255,0)">Join me in Rome for AppSecEU 2016!</span></div></div></div></div><br></div></div>_______________________________________________<br>
Owasp-board mailing list<br>
<a href="mailto:Owasp-board@lists.owasp.org" target="_blank">Owasp-board@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-board" rel="noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a><br>
<br></blockquote></div><br></div>
<br>_______________________________________________<br>
Owasp-board mailing list<br>
<a href="mailto:Owasp-board@lists.owasp.org">Owasp-board@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-board" rel="noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a><br>
<br></blockquote></div><br></div>