<HTML><HEAD></HEAD>
<BODY 
style="WORD-WRAP: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space" 
dir=ltr>
<DIV dir=ltr>
<DIV style="FONT-FAMILY: 'Calibri'; COLOR: #000000; FONT-SIZE: 12pt">
<DIV>Hello,</DIV>
<DIV> </DIV>
<DIV>I really like the idea of targeting educational institutions with this 
guide. I would also like to volunteer for the Education and Training section of 
the guide. My graduate thesis was on building a secure development program via 
e-learning so I have some already existing lessons that I could draw on. I also 
have set up security trainings with multiple organizations so I think I could 
really offer a realistic approach to how to implement training in corporate when 
there is no money and little management support. Other sections I would like to 
contribute to would be Common Business Use Cases and security architecture. I 
figure I would be available to assist with those and if we do not have any 
takers I would like to pursue those with a partner.</DIV>
<DIV> </DIV>
<DIV>Also, in the Common Business Use Cases, I did not see mashup applications 
listed. Are we lumping those in somewhere else? I think those would be a great 
addition to that section as security and mashup do not always go hand in 
hand.</DIV>
<DIV> </DIV>
<DIV>As for a title, I like OWASP Developer Guide 2013. I feel that versions get 
out of control and what makes them different seems arcane at times. What makes 
it v3 vs. v4 vs. v3.12.21, etc... I think using OWASP Developer Guide 2013 
really tells the reader where it is in the timeline of development. I also like 
that when people read it in five years and see our great thoughts they say “Wow, 
these people were thinking this way back when...”. As we update the guide, 
clarify, update, etc... then I say we have releases. So OWASP Developer Guide 
2013 rel. 1.</DIV>
<DIV> </DIV>
<DIV>Just my thoughts.</DIV>
<DIV> </DIV>
<DIV>I look forward to getting some writing going!!!</DIV>
<DIV> </DIV>
<DIV>Tim Kulp</DIV>
<DIV 
style="FONT-STYLE: normal; DISPLAY: inline; FONT-FAMILY: 'Calibri'; COLOR: #000000; FONT-SIZE: small; FONT-WEIGHT: normal; TEXT-DECORATION: none">
<DIV style="FONT: 10pt tahoma">
<DIV> </DIV>
<DIV style="BACKGROUND: #f5f5f5">
<DIV style="font-color: black"><B>From:</B> <A title=vanderaj@owasp.org 
href="mailto:vanderaj@owasp.org">Andrew van der Stock</A> </DIV>
<DIV><B>Sent:</B> Thursday, May 10, 2012 11:52 PM</DIV>
<DIV><B>To:</B> <A title=owasp-guide@lists.owasp.org 
href="mailto:owasp-guide@lists.owasp.org">owasp-guide@lists.owasp.org</A> </DIV>
<DIV><B>Cc:</B> <A title=eoin.keary@owasp.org 
href="mailto:eoin.keary@owasp.org">Eoin Keary</A> ; <A title=projects@owasp.org 
href="mailto:projects@owasp.org">projects@owasp.org</A> ; <A 
title=dave.wichers@owasp.org href="mailto:dave.wichers@owasp.org">Dave 
Wichers</A> </DIV>
<DIV><B>Subject:</B> [Owasp-guide] Proposal and discussion of draft Developer 
Guide 2013ToC</DIV></DIV></DIV>
<DIV> </DIV></DIV>
<DIV 
style="FONT-STYLE: normal; DISPLAY: inline; FONT-FAMILY: 'Calibri'; COLOR: #000000; FONT-SIZE: small; FONT-WEIGHT: normal; TEXT-DECORATION: none">Hi 
folks, 
<DIV> </DIV>
<DIV><B>Please review</B></DIV>
<DIV> </DIV>
<DIV>Can you please look over this ToC</DIV>
<DIV> </DIV>
<DIV><A 
href="http://code.google.com/p/owasp-development-guide/wiki/ProjectManagement_Assignments">http://code.google.com/p/owasp-development-guide/wiki/ProjectManagement_Assignments</A></DIV>
<DIV> </DIV>
<DIV>Let's start discussing what should be in and out of the Guide. I'm going 
deliberately for inclusiveness as if it's not in the Developer Guide, where will 
it be? However, I'm willing to be convinced if you have stronger arguments than 
mine. </DIV>
<DIV> </DIV>
<DIV>The numbering scheme is the (stalled) OWASP Common Numbering Scheme. It's 
time for that to be completed, so I've cc'd Dave Wichers, the project leader for 
that effort. I want to ensure that we are very strongly aligned with the ASVS 
<- Developer Guide <-> Testing Guide <-> Code Review Guide, 
because this time around we will not be discussing how to do code reviews and 
how to test except to point to those other texts. </DIV>
<DIV> </DIV>
<DIV><B>Claim your chapters</B></DIV>
<DIV> </DIV>
<DIV>I'd like for folks to start claiming chapters here (first post wins!) where 
a chapter is DG-MAJOR and not just a sub-section. For longer chapters (those 
likely to have more than six patterns), I want at least two and preferably four 
or five folks to work together. </DIV>
<DIV> </DIV>
<DIV><B>Title</B></DIV>
<DIV> </DIV>
<DIV>I'd like to nut out the tittle for the next release. Can you please 
indicate your preferred name for the next release:</DIV>
<DIV> </DIV>
<DIV>OWASP Developer Guide 2013 <-- mine</DIV>
<DIV>OWASP Developer Guide 4.0 <-- timeless</DIV>
<DIV>OWASP Developer Guide 3.0 </DIV>
<DIV> </DIV>
<DIV>That's my preferred order. The main reason for not using 3.0 is that we've 
had two shots at that version now, and I honestly think it's time to increment 
to 4.0. </DIV>
<DIV> </DIV>
<DIV>
<DIV>The 10th anniversary of the Guide is next month. I'm going to try and have 
a surprise for that. However, this project should not lose sight of the 2013 
goal. For that reason, I'd like for us to be ready to release at no later than 
OWASP AppSec US in Northern hemisphere fall 2013, but preferably by AppSec EU 
next year. </DIV></DIV>
<DIV> </DIV>
<DIV><B>Rebirth as a ready to use textbook, education piece</B></DIV>
<DIV> </DIV>
<DIV>In other news, I had a lovely dinner with the delightful Laura Bell, who 
got me thinking about how best to make use of the Guide. </DIV>
<DIV> </DIV>
<DIV>
<DIV>I'd like for the Developer Guide to be immediately useful as a K11-12 / 
first year University text book. This means I'd like to work with the OWASP 
Education project on simultaneously updating my two day deck into a 15 or 16 
week deck and exercises and labs that teachers and lecturers can use either 
directly with WebGoat or directly with the deck we provide. We really need to 
start educating the next generation behind us to prevent security being an 
forgotten art. Once that's done, it's easy enough to create a dense 2 or 3 day 
deck for trainers to deliver to organisations and businesses, with the Developer 
Guide as being the lecture text and the next version of ASVS as the two-three 
day text. </DIV></DIV>
<DIV> </DIV>
<DIV>Whilst we will be developing this in the Wiki and that's how I tend to use 
OWASP materials today, I am happy to create a final PDF and a iBook download for 
the OWASP website, and possibly work with a publisher to get the Developer Guide 
prepared for print publication. Personally, I think having a freely downloadable 
version on our website, and in iTunes U along with someone teaching the 
materials on screen (look for CS 193P for what I have in mind) will be the 
lowest barrier to entry. I'm not convinced that dead tree printing is the best 
today, but I have a Kindle and an iPad, so I'm biased.  </DIV>
<DIV> </DIV>
<DIV>Thoughts?</DIV>
<DIV> </DIV>
<DIV>thanks,</DIV>
<DIV>Andrew</DIV>
<P>
<HR>
_______________________________________________<BR>Owasp-guide mailing 
list<BR>Owasp-guide@lists.owasp.org<BR>https://lists.owasp.org/mailman/listinfo/owasp-guide<BR></DIV></DIV></DIV></BODY></HTML>