<div dir="ltr">Josh<div><br></div><div>Have you seen the contrast website, PR's and video?</div><div><br></div><div>It seems you are defending and trying to minor all the facts around the abuse of OWASP and DHS brands to sell a message as these organisations are endorsing Contrast with its superior product.</div><div><br></div><div>Since you have never used the tool you have definitely no idea to confirm that all the claims done on that webiste and PR including marketing contrast video are false and damaging towards open source and commercial SAST/DAST tools</div><div><br></div><div>This is how I see that this kind of projects married with venom marketing campaigns contribute to very bad reputation of OWASP.</div><div><br></div><div>Read all my finding here so yes I have taken time to research</div><div><a href="http://lists.owasp.org/pipermail/owasp-leaders/2015-November/015645.html" target="_blank" style="font-size:13px">http://lists.owasp.org/pipermail/owasp-leaders/2015-November/015645.html</a><br></div><div><br></div><div><div style="font-size:13px">Please read, research how this venom marketing has an impact with their false claims on the image of other vendors SAST and DAST tools including Open source tools like FindBugs , ZAP </div><div style="font-size:13px"><br></div><a href="https://docs.google.com/document/d/119J75carjeFKHT6z9Z0LEdFPrwqfjdp0FBezIWE2_2U/edit?usp=sharing" target="_blank" style="font-size:13px">https://docs.google.com/document/d/119J75carjeFKHT6z9Z0LEdFPrwqfjdp0FBezIWE2_2U/edit?usp=sharing</a><br></div><div><br></div><div>Regards</div><div><br></div><div>Johanna</div><div><br></div><div><br></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Nov 27, 2015 at 3:13 PM, Josh Sokol <span dir="ltr"><<a href="mailto:josh.sokol@owasp.org" target="_blank">josh.sokol@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div>Thank you for the links to those articles.  The first one 
discusses the strengths and weaknesses of the different methods of 
evaluating for application vulnerabilities.  The section on the 
Benchmark seems wholly appropriate to me.  That seems like an excellent 
description of what the project is designed to do.  I see some metrics 
in there about which tools are more effective on which types of 
vulnerabilities, but I don't see him straight up saying "The OWASP 
Benchmark proves that Contrast is better".  This seems like statements 
made based on some level of testing and research.  Honestly, I don't see
 any OWASP brand abuse in that article.  Whether it's in good taste or 
not at this stage in the project is certainly debatable, but if you look
 at the brand usage guidelines (<a href="https://www.owasp.org/index.php/Marketing/Resources#tab=BRAND_GUIDELINES" target="_blank">https://www.owasp.org/index.php/Marketing/Resources#tab=BRAND_GUIDELINES</a>),
 I don't see any violations.  We need to govern to policy here which is 
why Paul and Noreen are evaluating changes to the guidelines and our 
enforcement policies to make abuse more difficult.<br><br></div>The 
second article is a competing vendor's reaction to the first.  He makes 
some good points about the issues with Benchmark, but he also says that 
he hopes that it will be improved over time, and Dave has committed to 
that.  What I don't see is the vendor saying "...and Veracode has 
committed resources to help make the Benchmark more accurate across all 
tool sets".  The Benchmark page is pretty clear that it does it's best 
to provide a benchmark without working exactly like a real-world 
application.  Maybe some more disclaimer text about where the project is
 at today would be in order to validate some of Chris' concerns, but I 
hardly see this as "brand abuse" or a reason to demote the project.<br><br></div>Please
 consider that I have spoken with both Dave and Jeff on this topic and 
read much of the discussions around it before formulating my opinion.  I
 doubt that you have done the same so I'm not sure how you can claim 
that you have researched the issues and all parties involved when you 
haven't even spoken with the two people whom you are accusing of 
impropriety.  I have no bias here.  I am simply speaking with the 
individuals involved, looking at the currently OWASP policies and 
guidelines, and helping to determine our next steps. <br><br></div>~josh<br></div><div class="gmail_extra"><br><div class="gmail_quote"><div><div class="h5">On Fri, Nov 27, 2015 at 12:08 PM, johanna curiel curiel <span dir="ltr"><<a href="mailto:johanna.curiel@owasp.org" target="_blank">johanna.curiel@owasp.org</a>></span> wrote:<br></div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div class="h5"><div dir="ltr">Josh, also take the time to read the reaction of Veracode<div><br></div><div>Jeff doing marketing...</div><div><br><div><a href="https://www.veracode.com/blog/2015/09/no-one-technology-silver-bullet" target="_blank">https://www.veracode.com/blog/2015/09/no-one-technology-silver-bullet</a><br></div><div><br></div><div><span style="color:rgb(85,85,85);font-family:Montserrat,Helvetica,Arial,sans-serif;font-size:14px;background-color:rgb(238,238,238)">This week we’re all treated to watch this spectacle play out in the pages of Dark Reading, loosely disguised as a discussion about a new industry benchmark. While vendors sling arrows at each other, the benchmark itself isn’t getting much attention and I think it would benefit us all to focus on what’s important here: </span><a href="https://www.owasp.org/index.php/Benchmark" style="margin:0px;padding:0px;border:0px;font-family:Montserrat,Helvetica,Arial,sans-serif;line-height:inherit;font-size:14px;vertical-align:baseline;color:rgb(22,163,221);text-decoration:none;outline:0px" target="_blank">the benchmark</a><span style="color:rgb(85,85,85);font-family:Montserrat,Helvetica,Arial,sans-serif;font-size:14px;background-color:rgb(238,238,238)">.</span><br></div><div><span style="color:rgb(85,85,85);font-family:Montserrat,Helvetica,Arial,sans-serif;font-size:14px;background-color:rgb(238,238,238)"><br></span></div><div><span style="color:rgb(85,85,85);font-family:Montserrat,Helvetica,Arial,sans-serif;font-size:14px;background-color:rgb(238,238,238)">.....</span></div><div><span style="color:rgb(85,85,85);font-family:Montserrat,Helvetica,Arial,sans-serif;font-size:14px;background-color:rgb(238,238,238)"><br></span></div><div><span style="color:rgb(85,85,85);font-family:Montserrat,Helvetica,Arial,sans-serif;font-size:14px;background-color:rgb(238,238,238)">f you haven’t been following the drama, over the past few days, the general manager of HP’s Fortify division, Jason Schmitt, and the CTO and Co-founder of Contrast Security, Jeff Williams, have been in a tit-for-tat argument over this question. In a </span><a href="http://www.darkreading.com/vulnerabilities---threats/why-its-insane-to-trust-static-analysis/a/d-id/1322274?" style="margin:0px;padding:0px;border:0px;font-family:Montserrat,Helvetica,Arial,sans-serif;line-height:inherit;font-size:14px;vertical-align:baseline;color:rgb(22,163,221);text-decoration:none;outline:0px" target="_blank">post</a><span style="color:rgb(85,85,85);font-family:Montserrat,Helvetica,Arial,sans-serif;font-size:14px;background-color:rgb(238,238,238)"> published yesterday, Williams points to a new benchmark from OWASP as a good way to objectively evaluate the strengths and weaknesses of different application security tools.</span><span style="color:rgb(85,85,85);font-family:Montserrat,Helvetica,Arial,sans-serif;font-size:14px;background-color:rgb(238,238,238)"><br></span></div></div><div><span style="color:rgb(85,85,85);font-family:Montserrat,Helvetica,Arial,sans-serif;font-size:14px;background-color:rgb(238,238,238)"><br></span></div><div><span style="color:rgb(85,85,85);font-family:Montserrat,Helvetica,Arial,sans-serif;font-size:14px;background-color:rgb(238,238,238)">I<b> have a concern with the OWASP benchmark scoring as well. I don’t agree with the scoring process where the score is true positive rate minus false positives rate (score = TP%-FP%).  It is much more important to be able to detect a vulnerability than to reject a false positive, to a point.  I am going to recommend to OWASP that TP% and FP% be reported and </b></span><b><span style="margin:0px;padding:0px;border:0px;font-family:Montserrat,Helvetica,Arial,sans-serif;line-height:inherit;font-size:14px;vertical-align:baseline;color:rgb(85,85,85)">not</span><span style="color:rgb(85,85,85);font-family:Montserrat,Helvetica,Arial,sans-serif;font-size:14px;background-color:rgb(238,238,238)"> combined into a final score.  This way there is more information presented and customers can make up their minds about the FP rate their risk posture and resources can tolerate.  For instance if a test has a TP% of 65% and FP% around 35%, instead of just comparing a score of 30 to compare test results look at both numbers.  That paints a more realistic picture of how a testing technology will perform.</span></b><span style="color:rgb(85,85,85);font-family:Montserrat,Helvetica,Arial,sans-serif;font-size:14px;background-color:rgb(238,238,238)"><br></span></div></div><div><div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Nov 27, 2015 at 1:59 PM, johanna curiel curiel <span dir="ltr"><<a href="mailto:johanna.curiel@owasp.org" target="_blank">johanna.curiel@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Josh <div><br></div><div>Inform yourself better.</div><div><br></div><div>Is now Jeff being forced to write articles in DarkReading about benchmark and Contrast?</div><div><br></div><div><a href="http://www.darkreading.com/vulnerabilities---threats/why-its-insane-to-trust-static-analysis/a/d-id/1322274" target="_blank">http://www.darkreading.com/vulnerabilities---threats/why-its-insane-to-trust-static-analysis/a/d-id/1322274</a><br></div><div><br></div><div><img src="cid:ii_1514a18b2ebcb787" alt="Inline image 2" height="348" width="495"><br></div></div>
</blockquote></div><br></div>
</div></div><br></div></div>_______________________________________________<br>
Owasp-board mailing list<br>
<a href="mailto:Owasp-board@lists.owasp.org" target="_blank">Owasp-board@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-board" rel="noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a><br>
<br></blockquote></div><br></div>
</blockquote></div><br></div>