<span class="Apple-style-span" style="font-family: Arial, sans-serif; border-collapse: collapse; ">&gt;OWASP End User Education Project: I was hanging out with our lawyers last week (before watching the wonderful membership video) and we got into a fascinating conversation regarding &gt;professional education. Independent insurance agents, accountants, lawyers, etc are all required to take continuing education credits whereby they are encouraged to watch videos, attend &gt;seminars, etc. So, with this thought in mind, why can;&#39;t all of us chapter leaders agree to one fixed day next year where we all present on web application security from the perspective of an &gt;end-user? Likewise, could a few of us sketch out a skit that we could do for non-security types to watch and videotape while in DC to load up on YouTube.</span><div>
<font class="Apple-style-span" face="Arial, sans-serif"><span class="Apple-style-span" style="border-collapse: collapse;"><br></span></font></div><div><font class="Apple-style-span" face="Arial, sans-serif"><span class="Apple-style-span" style="border-collapse: collapse;">I&#39;ve been working on this training concept for a while. It&#39;s a series of mini courses for those in management and other roles, not necessarily associated with the technical side. Right now it&#39;s in propriety format, but I&#39;ve been meaning to rewrite it and start again, so this could be a good push.</span></font></div>
<div><font class="Apple-style-span" face="Arial, sans-serif"><span class="Apple-style-span" style="border-collapse: collapse;"><br></span></font></div><div><font class="Apple-style-span" face="Arial, sans-serif"><span class="Apple-style-span" style="border-collapse: collapse;"><br>
</span></font><br><div class="gmail_quote">2009/9/23 Mike Boberski <span dir="ltr">&lt;<a href="mailto:mike.boberski@cox.net">mike.boberski@cox.net</a>&gt;</span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
idea, ESAPI certification project, and I&#39;ll lead it<div><div></div><div class="h5"><br clear="all"><br>Mike<br>
<br><br><div class="gmail_quote"><blockquote class="gmail_quote" style="border-left:1px solid rgb(204, 204, 204);margin:0pt 0pt 0pt 0.8ex;padding-left:1ex">
<br><br><div class="gmail_quote"><div><div>On Wed, Sep 23, 2009 at 1:12 PM, Jeff Williams <span dir="ltr">&lt;<a href="mailto:jeff.williams@owasp.org" target="_blank">jeff.williams@owasp.org</a>&gt;</span> wrote:<br>

</div></div><blockquote class="gmail_quote" style="border-left:1px solid rgb(204, 204, 204);margin:0pt 0pt 0pt 0.8ex;padding-left:1ex"><div><div>










<div link="blue" vlink="purple" lang="EN-US">

<div>

<p><span style="font-size:11pt;color:rgb(31, 73, 125)">The vulnerability disclosure idea is a good project that could
fall under the OWASP Legal Project. I think we should try to give them
everything they need to run a good application security response center. 
I’m thinking…</span></p>

<p><span style="font-size:11pt;color:rgb(31, 73, 125)"> </span></p>

<p><span style="font-size:11pt;color:rgb(31, 73, 125)">Application Security Response Program</span></p>

<p><span style="font-size:11pt;color:rgb(31, 73, 125)"><span>1)<span style="font-family:&quot;Times New Roman&quot;;font-style:normal;font-variant:normal;font-weight:normal;font-size:7pt;line-height:normal;font-size-adjust:none;font-stretch:normal">     
</span></span></span><span style="font-size:11pt;color:rgb(31, 73, 125)">Text for website that encourages responsible disclosure and
protects researchers from lawsuit</span></p>

<p><span style="font-size:11pt;color:rgb(31, 73, 125)"><span>2)<span style="font-family:&quot;Times New Roman&quot;;font-style:normal;font-variant:normal;font-weight:normal;font-size:7pt;line-height:normal;font-size-adjust:none;font-stretch:normal">     
</span></span></span><span style="font-size:11pt;color:rgb(31, 73, 125)">A runbook for actually handling reported vulnerabilities
(template emails, etc…)</span></p>

<p><span style="font-size:11pt;color:rgb(31, 73, 125)"><span>3)<span style="font-family:&quot;Times New Roman&quot;;font-style:normal;font-variant:normal;font-weight:normal;font-size:7pt;line-height:normal;font-size-adjust:none;font-stretch:normal">     
</span></span></span><span style="font-size:11pt;color:rgb(31, 73, 125)">Guidance on metrics coming out of the program</span></p>

<p><span style="font-size:11pt;color:rgb(31, 73, 125)"><span>4)<span style="font-family:&quot;Times New Roman&quot;;font-style:normal;font-variant:normal;font-weight:normal;font-size:7pt;line-height:normal;font-size-adjust:none;font-stretch:normal">     
</span></span></span><span style="font-size:11pt;color:rgb(31, 73, 125)">Guidance on performing rescues on operational applications</span></p>

<p><span style="font-size:11pt;color:rgb(31, 73, 125)"><span>5)<span style="font-family:&quot;Times New Roman&quot;;font-style:normal;font-variant:normal;font-weight:normal;font-size:7pt;line-height:normal;font-size-adjust:none;font-stretch:normal">     
</span></span></span><span style="font-size:11pt;color:rgb(31, 73, 125)">… what else?</span></p>

<p><span style="font-size:11pt;color:rgb(31, 73, 125)"> </span></p>

<div>

<p><span style="font-size:11pt;color:rgb(31, 73, 125)">--Jeff</span></p>

</div>

<p><span style="font-size:11pt;color:rgb(31, 73, 125)"> </span></p>

<p><span style="font-size:11pt;color:rgb(31, 73, 125)">PS – Breakfast Serialz?  Seriously? Gimme a bowl of
Hackios?  Leet Flakes?  Golden Graham Crackers?  And Tom Brennan’s
fav -- two scoopz of Kellog’s Raisin Hell?</span></p>

<p><span style="font-size:11pt;color:rgb(31, 73, 125)"> </span></p>

<p><span style="font-size:11pt;color:rgb(31, 73, 125)"> </span></p>

<div style="border-style:none none none solid;border-color:-moz-use-text-color -moz-use-text-color -moz-use-text-color blue;border-width:medium medium medium 1.5pt;padding:0in 0in 0in 4pt">

<div>

<div style="border-style:solid none none;border-color:rgb(181, 196, 223) -moz-use-text-color -moz-use-text-color;border-width:1pt medium medium;padding:3pt 0in 0in">

<p><b><span style="font-size:10pt">From:</span></b><span style="font-size:10pt">
<a href="mailto:owasp-leaders-bounces@lists.owasp.org" target="_blank">owasp-leaders-bounces@lists.owasp.org</a>
[mailto:<a href="mailto:owasp-leaders-bounces@lists.owasp.org" target="_blank">owasp-leaders-bounces@lists.owasp.org</a>] <b>On Behalf Of </b>McGovern,
James F (HTSC, IT)<br>
<b>Sent:</b> Wednesday, September 23, 2009 9:38 AM<br>
<b>To:</b> <a href="mailto:owasp-leaders@lists.owasp.org" target="_blank">owasp-leaders@lists.owasp.org</a><br>
<b>Subject:</b> [Owasp-leaders] Other Ideas for Projects</span></p>

</div>

</div>

<p> </p>

<p><span style="font-size:10pt">Hopefully
one can propose an idea without having to necessarily lead it :-)</span> </p>

<ul type="disc">
 <li><span style="font-size:10pt">OWASP
     End User Education Project: I was hanging out with our lawyers last week
     (before watching the wonderful membership video) and we got into a
     fascinating conversation regarding professional education. Independent
     insurance agents, accountants, lawyers, etc are all required to take
     continuing education credits whereby they are encouraged to watch videos,
     attend seminars, etc. So, with this thought in mind, why can;&#39;t all of us
     chapter leaders agree to one fixed day next year where we all present on
     web application security from the perspective of an end-user? Likewise,
     could a few of us sketch out a skit that we could do for non-security
     types to watch and videotape while in DC to load up on YouTube.</span></li>
 <li><span style="font-size:10pt">OWASP
     Vulnerability Disclosure Project: We know that websites have privacy
     policies, but what about vulnerability disclosure policies? Lets say that
     I am CISO for a major bank and an OWASP member happens to notice that the
     site is subject to cross-site. Should they tell me? How should I react?
     How do you think most CISOs would react? The problem is that vulnerability
     right now is only thought of in terms of software vendors (think
     Microsoft, Oracle, CA, etc) and consumerish websites (think MySpace,
     Facebook, etc), we need to figure out some simple text that folks could
     incorporate into their website</span></li>
 <li><span style="font-size:10pt">OWASP
     Branding Project: I mentioned that I am working with a local soda company
     to create a flavor of soda unique to our chapter (Avery&#39;s Soda) and
     wondered whether this type of branding and logo usage could serve OWASP in
     other ways. Yes, we could panic and start worrying about food poisoning
     but I think our endorsement avoidance is around tech companies and not
     other domains. For example, wouldn&#39;t it be cool if we could have our own
     brand of cereal (I got some pings out)</span></li>
</ul>

<p style="margin-right:0in;margin-bottom:12pt;margin-left:0.5in"> </p>

<pre>************************************************************</pre><pre>This communication, including attachments, is for the exclusive use of addressee and may contain proprietary, confidential and/or privileged information.  If you are not the intended recipient, any use, copying, disclosure, dissemination or distribution is strictly prohibited.  If you are not the intended recipient, please notify the sender immediately by return e-mail, delete this communication and destroy all copies.</pre>



<pre>************************************************************</pre></div>

</div>

</div>


<br></div></div>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br>
</blockquote><br></div><br>
</div></div><br>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div>