<div dir="ltr"><ul style="font-size:13px"><li style="margin-left:15px">Participating in DHS and IEEE standards efforts.  These organisations are moving forward with or without us and if we don't participate I think we risk losing our place as the de facto standard for application security.</li></ul><div>Matt, could you provide some specific references to these programs? In which way can we contribute and be part of them?</div><div>Specifying more this information could help us define clear strategy with the community I think. I think the OWASP Cheat Sheet is doing a great job at this part, ASVS too. Maybe we should start ASVS guide for .NET, ASVS guide for Java...</div><div>I don't know, some ideas.What I like from ASVS is that it provides a clear guide of security controls and implementation, the only detail is that does not provide a specific case code wise how to implement in a determine framework/programming language</div><ul style="font-size:13px"><li style="margin-left:15px">Making an investment in DevOps.  This includes conference and summit activities.  This is an area we have mixed results at so far but we have some active work happening that we can either leverage or let fall to the wayside.</li></ul><div>I believe the staff such as Kelly does this wonderfully by being there and provide information in a booth with other owasp volunteers. This is the way I got involved with OWASP during a blackhat conference in EU and Martin Knobloch explained me about OWASP and the projects</div><div>Again looking at strategies that for sure works to get people involved.making investment in DevOps should be further defined. . What can be different done to have more impact  into a more secure SDLC? Maybe more about being a speaker and building or promoting OWASP documents for DevOps. I think if Developers implement ASVS in their lifecycle as security controls they already have covered many security issues.</div><ul style="font-size:13px"><li style="margin-left:15px">Building a data collection and metrics focused initiative so that we have something behind us when we say that X,Y,Z are the most important things going on and A,B,C work. </li></ul><div>Agree, 'if you can measure , you can manage'. What kind of data are we looking here to gather? What kind of issues are 'hot' within the community? I think we need to measure , create more surveys, gather information...research </div><ul style="font-size:13px"><li style="margin-left:15px">Building training content and capabilities.</li></ul><div>Definitely. OWASP Academy is one initiative but the training I think should be directed into helping developers implement proper security. Awareness documents like OWASP Top Ten and the other Top Tens help in this process but the question is content and results.How to invest on this and what kind of return do we want to see?</div><div>Tim came with some ideas based on his experience and that gave me also some idea</div><div><br></div><div><span style="font-size:13px">>>Also, please consider donating some time to the OWASP ASVS. It's not perfect, but from what I have seen it's the best AppSec standard out there today.</span><br></div><div><span style="font-size:13px"><br></span></div><div><span style="font-size:13px">Not because you are a main volunteer on </span>this, but I recently used it and is an excellent document , practical and to the point to help build a secure development life cycle</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Nov 23, 2015 at 7:47 PM, Matt Konda <span dir="ltr"><<a href="mailto:matt.konda@owasp.org" target="_blank">matt.konda@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Johanna,<div><br></div><div>It is totally fair that the proposal is not well fleshed out.  I put it out in that early state with the hope that folks would collaborate in putting detail into it and we would come up with an awesome way forward working together.<div><br></div><div>To be clear though, it was never intended that a major portion of it would be funding travel to developer conferences.  I for one have already been doing that for years, as have many others, on our own dime.  So I think we all agree that's not what we want to do here.</div><div><br></div><div>What it is about is: </div><div><ul><li>Participating in DHS and IEEE standards efforts.  These organizations are moving forward with or without us and if we don't participate I think we risk losing our place as the de facto standard for application security.</li><li>Making an investment in DevOps.  This includes conference and summit activities.  This is an area we have mixed results at so far but we have some active work happening that we can either leverage or let fall to the wayside.</li><li>Building a data collection and metrics focused initiative so that we have something behind us when we say that X,Y,Z are the most important things going on and A,B,C work. </li><li>Building training content and capabilities.</li></ul></div><div>I look forward to your input.</div><span class="HOEnZb"><font color="#888888"><div><br></div><div>Matt</div></font></span></div></div><div class="HOEnZb"><div class="h5"><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Nov 23, 2015 at 5:33 PM, Jim Manico <span dir="ltr"><<a href="mailto:jim.manico@owasp.org" target="_blank">jim.manico@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto"><div>I agree with your concern, Johanna. Going to developer conferences feels good but it largely ineffective and does not really scale. Most of OWASP's efforts are on conferences in general, and I think we can do more in service of our mission. (By the same token I'm really proud of our staff and the work they do to put on amazing conferences).</div><div><br></div><div>I'd much rather spend these funds funding and working with popular software frameworks to provide additional automatic security controls where we can. This is how you change the AppSec world for the better, but its a huge leap from what we do today and most folks I've talked to in leadership are opposed to that kind of funding.</div><div><br></div><div><div>--</div><div>Jim Manico</div><div><div><div style="word-wrap:break-word"><div><span style="background-color:rgba(255,255,255,0)">Global Board Member</span></div><span style="background-color:rgba(255,255,255,0)">OWASP Foundation</span><div><a href="https://www.owasp.org/" style="background-color:rgba(255,255,255,0)" target="_blank"><font color="#000000">https://www.owasp.org</font></a></div></div></div><div><span style="background-color:rgba(255,255,255,0)">Join me in Rome for AppSecEU 2016!</span></div></div></div><div><div><div><br>On Nov 23, 2015, at 8:06 PM, johanna curiel curiel <<a href="mailto:johanna.curiel@owasp.org" target="_blank">johanna.curiel@owasp.org</a>> wrote:<br><br></div><blockquote type="cite"><div><div dir="ltr">Hi Board<div><br></div><div>I do have some questions regarding this program</div><div><br></div><div>So far I have not seen concrete plans but a quite vaguely defined plan with  a budget for 50K for 'engagement costs' for leaders (who also not clear) to conferences</div><div><br></div><div>I do not see clear actions into this initiative. </div><div><br></div><div><span><span style="font-size:14.666666666666666px;font-family:Arial;color:rgb(0,0,0);background-color:transparent;vertical-align:baseline;white-space:pre-wrap">$50K for work to help OWASP <i>actively engage</i> with developer communities.==></span></span><br></div><div><ul><li>Which concrete actions and steps will be done  in order to <i>engage</i> the developer communities? </li><li>Where is the proposal explaining this?</li><li>How will be the selection procedure of Project leaders to go to this 'conferences'? Will only be the 'board members or elected ember san dhow will this be done?<br></li></ul></div><div><br></div><div>Example, I don't see how someone that has no developer experience using certain programming language or that framework can engage a Developer community, so the action plan is quite important in order to justify this 'engagement' with chances to get results</div><div><br></div><div>regards</div><div><br></div><div>Johanna</div></div>
</div></blockquote></div></div><blockquote type="cite"><div><span>_______________________________________________</span><br><span>Owasp-board mailing list</span><br><span><a href="mailto:Owasp-board@lists.owasp.org" target="_blank">Owasp-board@lists.owasp.org</a></span><br><span><a href="https://lists.owasp.org/mailman/listinfo/owasp-board" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a></span><br></div></blockquote></div><br>_______________________________________________<br>
Owasp-board mailing list<br>
<a href="mailto:Owasp-board@lists.owasp.org" target="_blank">Owasp-board@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-board" rel="noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a><br>
<br></blockquote></div><br></div>
</div></div></blockquote></div><br></div>