<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML dir=ltr><HEAD><TITLE>WSJ: Software Security</TITLE>
<META http-equiv=Content-Type content="text/html; charset=us-ascii">
<META content="MSHTML 6.00.6000.16788" name=GENERATOR></HEAD>
<BODY>
<DIV dir=ltr align=left><SPAN class=985593220-05032009><FONT face=Arial 
color=#0000ff size=2>As the enterprisey guy, I am of the belief that guidance 
needs to be provided by direct participation of multiple demographics and not 
just vendors doing things on behalf of the enterprise. The lot of not a lot of 
gritty detail is sometimes done based on attempting to steer a reader in a 
particular direction. It should be done such that the answers are all about 
engaging in a sales conversation with a consulting firm and product vendor but 
to help others learn how to approach a particular problem 
space.</FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=985593220-05032009><FONT face=Arial 
color=#0000ff size=2></FONT></SPAN>&nbsp;</DIV>
<DIV dir=ltr align=left><SPAN class=985593220-05032009><FONT face=Arial 
color=#0000ff size=2>Since you are interviewing next week, can you ask the 
following:</FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=985593220-05032009><FONT face=Arial 
color=#0000ff size=2></FONT></SPAN>&nbsp;</DIV>
<DIV dir=ltr align=left><SPAN class=985593220-05032009><FONT face=Arial 
color=#0000ff size=2>1. Do you believe that an organization can do BSI without 
outside consulting services and leverage products they already 
have?</FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=985593220-05032009><FONT face=Arial 
color=#0000ff size=2>2. How should software security roll up into an enterprise 
architecture strategy?</FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=985593220-05032009><FONT face=Arial 
color=#0000ff size=2>3. We can all agree that static analysis is important, but 
in your opinion, what security activities within an IT ecosystem are more 
important?</FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=985593220-05032009><FONT face=Arial 
color=#0000ff size=2>4. OWASP creates valuable working software and makes it 
freely available but it can't do this for all spaces. Do you think that other 
security organizations need to go beyond just awareness and actually deliver 
products that others can use in an open manner?</FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=985593220-05032009><FONT face=Arial 
color=#0000ff size=2>5. Enterprises especially in the financial services space 
are seeing their stocks decline to record lows and understand that cash is king. 
Likewise, many security tools are easily a million bucks when applied to 
enterprise scale. What advice would you provide to them for enabling security 
without a whole lot of money.</FONT></SPAN></DIV><BR>
<DIV class=OutlookMessageHeader lang=en-us dir=ltr align=left>
<HR tabIndex=-1>
<FONT face=Tahoma size=2><B>From:</B> owasp-leaders-bounces@lists.owasp.org 
[mailto:owasp-leaders-bounces@lists.owasp.org] <B>On Behalf Of </B>Jim 
Manico<BR><B>Sent:</B> Thursday, March 05, 2009 1:27 PM<BR><B>To:</B> 
owasp-leaders@lists.owasp.org; owasp-leaders@lists.owasp.org<BR><B>Subject:</B> 
Re: [Owasp-leaders] WSJ: Software Security<BR></FONT><BR></DIV>
<DIV></DIV>
<DIV id=idOWAReplyText63708 dir=ltr>
<DIV dir=ltr><FONT face=Arial color=#000000 size=2>
<P>&gt; <FONT face="Courier New" size=2>Would be cool if OWASP Bloggers provided 
their commentary...</FONT> </FONT></P></DIV>
<DIV dir=ltr><FONT face=Arial color=#000000 size=2>BSI looks VERY high level doc 
to help a large org "<FONT face="Times New Roman" size=3>plan a software 
security initiative"</FONT>. Stuff like:</FONT></DIV>
<DIV dir=ltr><FONT face=Arial size=2></FONT>&nbsp;</DIV>
<DIV dir=ltr><STRONG>Ensure host and network security basics are in 
place.</STRONG> The organization provides a solid foundation for software by 
ensuring that host and network security basics are in place. It is common for 
operations security teams to be responsible for duties such as patching 
operating systems and maintaining firewalls.</DIV>
<DIV dir=ltr><FONT face=Arial color=#0000ff size=2></FONT>&nbsp;</DIV>
<DIV dir=ltr>Not a lot of gritty detail. </DIV>
<DIV dir=ltr>&nbsp;</DIV>
<DIV dir=ltr>I know that this and <A 
href="http://www.owasp.org/index.php/ASVS">http://www.owasp.org/index.php/ASVS</A> 
&nbsp;try to solve different problems, but ASVS seems to scratch the itch much 
more than BSI.</DIV>
<DIV dir=ltr>&nbsp;</DIV>
<DIV dir=ltr>This is just my initial reaction. I'm interviewing Chess over this 
next week and will approach the interview with an open mind.</DIV></DIV>
<DIV id=idSignature21257 dir=ltr><PRE>-- 
Jim Manico, Senior Application Security Engineer
jim.manico@aspectsecurity.com
(301) 604-4882 (work)
(808) 652-3805 (cell)

Aspect Security&#8482;
Securing your applications at the source
http://www.aspectsecurity.com</PRE></DIV>
<DIV dir=ltr><BR>
<HR tabIndex=-1>
<FONT face=Tahoma size=2><B>From:</B> owasp-leaders-bounces@lists.owasp.org on 
behalf of McGovern, James F (HTSC, IT)<BR><B>Sent:</B> Thu 3/5/2009 4:42 
AM<BR><B>To:</B> owasp-leaders@lists.owasp.org<BR><B>Subject:</B> 
[Owasp-leaders] WSJ: Software Security<BR></FONT><BR></DIV>
<DIV>
<P><A 
href="http://blogs.wsj.com/digits/2009/03/04/new-effort-hopes-to-improve-software-security/"><U><FONT 
face="Courier New" color=#0000ff 
size=2>http://blogs.wsj.com/digits/2009/03/04/new-effort-hopes-to-improve-software-security/</FONT></U></A> 
</P>
<P><FONT face="Courier New" size=2>Would be cool if OWASP Bloggers provided 
their commentary...</FONT> </P><PRE>************************************************************
This communication, including attachments, is for the exclusive use of addressee and may contain proprietary, confidential and/or privileged information.  If you are not the intended recipient, any use, copying, disclosure, dissemination or distribution is strictly prohibited.  If you are not the intended recipient, please notify the sender immediately by return e-mail, delete this communication and destroy all copies.
************************************************************
</PRE></DIV><pre>************************************************************
This communication, including attachments, is for the exclusive use of addressee and may contain proprietary, confidential and/or privileged information.  If you are not the intended recipient, any use, copying, disclosure, dissemination or distribution is strictly prohibited.  If you are not the intended recipient, please notify the sender immediately by return e-mail, delete this communication and destroy all copies.
************************************************************
</pre></BODY></HTML>