<div dir="ltr">Josh, also take the time to read the reaction of Veracode<div><br></div><div>Jeff doing marketing...</div><div><br><div><a href="https://www.veracode.com/blog/2015/09/no-one-technology-silver-bullet">https://www.veracode.com/blog/2015/09/no-one-technology-silver-bullet</a><br></div><div><br></div><div><span style="color:rgb(85,85,85);font-family:Montserrat,Helvetica,Arial,sans-serif;font-size:14px;background-color:rgb(238,238,238)">This week we’re all treated to watch this spectacle play out in the pages of Dark Reading, loosely disguised as a discussion about a new industry benchmark. While vendors sling arrows at each other, the benchmark itself isn’t getting much attention and I think it would benefit us all to focus on what’s important here: </span><a href="https://www.owasp.org/index.php/Benchmark" target="_blank" style="margin:0px;padding:0px;border:0px;font-family:Montserrat,Helvetica,Arial,sans-serif;line-height:inherit;font-size:14px;vertical-align:baseline;color:rgb(22,163,221);text-decoration:none;outline:0px">the benchmark</a><span style="color:rgb(85,85,85);font-family:Montserrat,Helvetica,Arial,sans-serif;font-size:14px;background-color:rgb(238,238,238)">.</span><br></div><div><span style="color:rgb(85,85,85);font-family:Montserrat,Helvetica,Arial,sans-serif;font-size:14px;background-color:rgb(238,238,238)"><br></span></div><div><span style="color:rgb(85,85,85);font-family:Montserrat,Helvetica,Arial,sans-serif;font-size:14px;background-color:rgb(238,238,238)">.....</span></div><div><span style="color:rgb(85,85,85);font-family:Montserrat,Helvetica,Arial,sans-serif;font-size:14px;background-color:rgb(238,238,238)"><br></span></div><div><span style="color:rgb(85,85,85);font-family:Montserrat,Helvetica,Arial,sans-serif;font-size:14px;background-color:rgb(238,238,238)">f you haven’t been following the drama, over the past few days, the general manager of HP’s Fortify division, Jason Schmitt, and the CTO and Co-founder of Contrast Security, Jeff Williams, have been in a tit-for-tat argument over this question. In a </span><a href="http://www.darkreading.com/vulnerabilities---threats/why-its-insane-to-trust-static-analysis/a/d-id/1322274?" style="margin:0px;padding:0px;border:0px;font-family:Montserrat,Helvetica,Arial,sans-serif;line-height:inherit;font-size:14px;vertical-align:baseline;color:rgb(22,163,221);text-decoration:none;outline:0px">post</a><span style="color:rgb(85,85,85);font-family:Montserrat,Helvetica,Arial,sans-serif;font-size:14px;background-color:rgb(238,238,238)"> published yesterday, Williams points to a new benchmark from OWASP as a good way to objectively evaluate the strengths and weaknesses of different application security tools.</span><span style="color:rgb(85,85,85);font-family:Montserrat,Helvetica,Arial,sans-serif;font-size:14px;background-color:rgb(238,238,238)"><br></span></div></div><div><span style="color:rgb(85,85,85);font-family:Montserrat,Helvetica,Arial,sans-serif;font-size:14px;background-color:rgb(238,238,238)"><br></span></div><div><span style="color:rgb(85,85,85);font-family:Montserrat,Helvetica,Arial,sans-serif;font-size:14px;background-color:rgb(238,238,238)">I<b> have a concern with the OWASP benchmark scoring as well. I don’t agree with the scoring process where the score is true positive rate minus false positives rate (score = TP%-FP%).  It is much more important to be able to detect a vulnerability than to reject a false positive, to a point.  I am going to recommend to OWASP that TP% and FP% be reported and </b></span><b><span style="margin:0px;padding:0px;border:0px;font-family:Montserrat,Helvetica,Arial,sans-serif;line-height:inherit;font-size:14px;vertical-align:baseline;color:rgb(85,85,85)">not</span><span style="color:rgb(85,85,85);font-family:Montserrat,Helvetica,Arial,sans-serif;font-size:14px;background-color:rgb(238,238,238)"> combined into a final score.  This way there is more information presented and customers can make up their minds about the FP rate their risk posture and resources can tolerate.  For instance if a test has a TP% of 65% and FP% around 35%, instead of just comparing a score of 30 to compare test results look at both numbers.  That paints a more realistic picture of how a testing technology will perform.</span></b><span style="color:rgb(85,85,85);font-family:Montserrat,Helvetica,Arial,sans-serif;font-size:14px;background-color:rgb(238,238,238)"><br></span></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Nov 27, 2015 at 1:59 PM, johanna curiel curiel <span dir="ltr"><<a href="mailto:johanna.curiel@owasp.org" target="_blank">johanna.curiel@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Josh <div><br></div><div>Inform yourself better.</div><div><br></div><div>Is now Jeff being forced to write articles in DarkReading about benchmark and Contrast?</div><div><br></div><div><a href="http://www.darkreading.com/vulnerabilities---threats/why-its-insane-to-trust-static-analysis/a/d-id/1322274" target="_blank">http://www.darkreading.com/vulnerabilities---threats/why-its-insane-to-trust-static-analysis/a/d-id/1322274</a><br></div><div><br></div><div><img src="cid:ii_1514a18b2ebcb787" alt="Inline image 2" width="495" height="348"><br></div></div>
</blockquote></div><br></div>