<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
  <head>
    <meta content="text/html; charset=UTF-8" http-equiv="Content-Type">
  </head>
  <body bgcolor="#ffffff" text="#000000">
    I think education is a good second approach, in addition to making
    it visible, improve the eyes of those looking for it. :-)    I think
    encouraging PCI QSA's to come without giving them a free ride would
    be worth while.   The PCI audit companies pay big bucks to be part
    of the club, giving them something free when they pay 20K/yr plus to
    be  a part of the club just doesn't seem like the right motivation. 
    I do like the idea of having some training focus for the auditors. 
    <br>
    <br>
    <pre class="moz-signature" cols="72">-- Ralph Durkee, CISSP, GSEC, GCIH, GSNA, GCIA, GPEN

</pre>
    <br>
    On 12/9/2010 10:41 AM, James McGovern wrote:
    <blockquote
cite="mid:3D0018576183C3499481587FAE0BAAF808D5A3AF@ws-mailsvr.Virtusa.com"
      type="cite">
      <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
      <meta name="Generator" content="Microsoft Word 12 (filtered
        medium)">
      <!--[if !mso]><style>v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
</style><![endif]-->
      <style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
        {font-family:Consolas;
        panose-1:2 11 6 9 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";
        color:black;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
pre
        {mso-style-priority:99;
        mso-style-link:"HTML Preformatted Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:10.0pt;
        font-family:"Courier New";
        color:black;}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
        {mso-style-priority:99;
        mso-style-link:"Balloon Text Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:8.0pt;
        font-family:"Tahoma","sans-serif";
        color:black;}
p.MsoListParagraph, li.MsoListParagraph, div.MsoListParagraph
        {mso-style-priority:34;
        margin-top:0in;
        margin-right:0in;
        margin-bottom:0in;
        margin-left:.5in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";
        color:black;}
span.HTMLPreformattedChar
        {mso-style-name:"HTML Preformatted Char";
        mso-style-priority:99;
        mso-style-link:"HTML Preformatted";
        font-family:Consolas;
        color:black;}
span.EmailStyle20
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:windowtext;}
span.EmailStyle21
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.EmailStyle22
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.BalloonTextChar
        {mso-style-name:"Balloon Text Char";
        mso-style-priority:99;
        mso-style-link:"Balloon Text";
        font-family:"Tahoma","sans-serif";
        color:black;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="2050" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
      <div class="WordSection1">
        <p class="MsoNormal"><span style="color: rgb(31, 73, 125);">Ralph,
            your sentence: “</span>Regulation such as PCI has been
          helpful, but it has been difficult for it to be effective
          given that Web App Security isn't very measurable by the
          average auditor.” What if we could leverage this as both an
          education and PR opportunity? Imagine a marketing campaign
          where we publicly stated that all OWASP conferences are free
          to PCI QSA’s! Additionally, what if we used some of our common
          training curricula to have a one-day class just for auditors
          on how to understand OWASP?<span style="color: rgb(31, 73,
            125);"><o:p></o:p></span></p>
        <p class="MsoNormal"><span style="color: rgb(31, 73, 125);"><o:p> </o:p></span></p>
        <div>
          <p class="MsoNormal"><b><span style="font-size: 10pt; color:
                gray;">James McGovern<br>
              </span></b><span style="font-size: 10pt; color: gray;">Insurance
              SBU <o:p></o:p></span></p>
          <p class="MsoNormal"><b><span style="font-size: 10pt; color:
                gray;">Virtusa </span></b><b><span style="font-size:
                10pt; color: rgb(127, 127, 127);">Corporation</span></b><b><span
                style="font-size: 10pt; color: gray;"><o:p></o:p></span></b></p>
          <p class="MsoNormal"><span style="font-size: 10pt; color:
              gray;">100 Northfield Drive, Suite 305 | Windsor, CT |
              06095<o:p></o:p></span></p>
          <p class="MsoNormal"><b><span style="font-size: 10pt; color:
                rgb(127, 127, 127);">Phone:  </span></b><span
              style="font-size: 10pt; color: gray;">860 688 9900</span><span
              style="font-size: 10pt; color: rgb(127, 127, 127);"> <b>Ext: 
              </b></span><span style="font-size: 10pt; color: gray;">1037</span><span
              style="font-size: 10pt; color: rgb(127, 127, 127);"> | <b>Facsimile: 
              </b></span><span style="font-size: 10pt; color: gray;">860
              688 2890</span><span style="font-size: 10pt; color:
              rgb(127, 127, 127);">  </span><span style="font-size:
              10pt; color: gray;"><o:p></o:p></span></p>
          <p class="MsoNormal"><a moz-do-not-send="true"
              href="http://www.virtusa.com/"><span style="font-size:
                10pt; color: rgb(127, 127, 127); text-decoration: none;"><img
                  id="Picture_x0020_52"
                  src="cid:part1.04050300.08040907@rd1.net"
                  alt="cid:image011.jpg@01CB08A4.F95CFA30" border="0"
                  height="21" width="81"></span></a><span
              style="font-size: 10pt; color: rgb(31, 73, 125);"> </span><a
              moz-do-not-send="true" href="http://www.virtusa.com/blog/"><span
                style="color: rgb(31, 73, 125); text-decoration: none;"><img
                  id="Picture_x0020_53"
                  src="cid:part2.04010105.05020208@rd1.net"
                  alt="cid:image012.gif@01CB08A4.F95CFA30" border="0"
                  height="22" width="22"></span></a><span style="color:
              rgb(31, 73, 125);"> </span><a moz-do-not-send="true"
              href="https://twitter.com/VirtusaCorp" target="_blank"><span
                style="font-size: 12pt; font-family: &quot;Times New
                Roman&quot;,&quot;serif&quot;; text-decoration: none;"><img
                  id="Picture_x0020_54"
                  src="cid:part3.06090504.09070006@rd1.net"
                  alt="cid:image004.gif@01CB08A4.F95CFA30" border="0"
                  height="22" width="22"></span></a><span style="color:
              rgb(31, 73, 125);"> </span><a moz-do-not-send="true"
              href="http://www.linkedin.com/companies/virtusa"
              target="_blank"><span style="font-size: 12pt; font-family:
                &quot;Times New Roman&quot;,&quot;serif&quot;;
                text-decoration: none;"><img id="Picture_x0020_55"
                  src="cid:part4.08040803.09090404@rd1.net"
                  alt="cid:image005.gif@01CB08A4.F95CFA30" border="0"
                  height="22" width="22"></span></a><span style="color:
              rgb(31, 73, 125);"> </span><a moz-do-not-send="true"
              href="http://www.facebook.com/VirtusaCorp" target="_blank"><span
                style="font-size: 12pt; font-family: &quot;Times New
                Roman&quot;,&quot;serif&quot;; text-decoration: none;"><img
                  id="Picture_x0020_56"
                  src="cid:part5.00040101.00050506@rd1.net"
                  alt="cid:image006.gif@01CB08A4.F95CFA30" border="0"
                  height="22" width="22"></span></a><span style="color:
              rgb(31, 73, 125);"><o:p></o:p></span></p>
        </div>
        <p class="MsoNormal"><span style="color: rgb(31, 73, 125);"><o:p> </o:p></span></p>
        <div>
          <div style="border-right: medium none; border-width: 1pt
            medium medium; border-style: solid none none; border-color:
            rgb(181, 196, 223) -moz-use-text-color -moz-use-text-color;
            padding: 3pt 0in 0in;">
            <p class="MsoNormal"><b><span style="font-size: 10pt;
                  font-family:
                  &quot;Tahoma&quot;,&quot;sans-serif&quot;; color:
                  windowtext;">From:</span></b><span style="font-size:
                10pt; font-family:
                &quot;Tahoma&quot;,&quot;sans-serif&quot;; color:
                windowtext;"> <a class="moz-txt-link-abbreviated" href="mailto:owasp-leaders-bounces@lists.owasp.org">owasp-leaders-bounces@lists.owasp.org</a>
                [<a class="moz-txt-link-freetext" href="mailto:owasp-leaders-bounces@lists.owasp.org">mailto:owasp-leaders-bounces@lists.owasp.org</a>] <b>On
                  Behalf Of </b>Ralph Durkee<br>
                <b>Sent:</b> Wednesday, December 08, 2010 9:18 PM<br>
                <b>To:</b> <a class="moz-txt-link-abbreviated" href="mailto:owasp-leaders@lists.owasp.org">owasp-leaders@lists.owasp.org</a><br>
                <b>Subject:</b> Re: [Owasp-leaders] Creating OWASP 4.0!<o:p></o:p></span></p>
          </div>
        </div>
        <p class="MsoNormal"><o:p> </o:p></p>
        <p class="MsoNormal">I've been thinking about the state of Web
          App Sec and how it's broken and what we can do about it. We've
          made some progress some areas like sql injection and malicious
          file execution, but most of the progress has been in large
          organizations and regulated industries, while the small and
          medium size businesses make up a majority of the market. And
          while we've made progress in some areas, we're not keeping up
          with the rate at which new web apps, and new web technologies
          are deployed. So given that we're not keeping up, coupled with
          the targeting and attack techniques continuing to get more
          sophisticated, I believe the over all risk picture is worse
          now then when we started.    That doesn't mean we've been a
          failure, I think we've been very successful in many ways, but
          the web continues to be less safe, and I think we need a
          different approach.  <br>
          <br>
          Regulation such as PCI has been helpful, but it has been
          difficult for it to be effective given that Web App Security
          isn't very measurable by the average auditor.  David Rice's
          presentation which paralleled on the evolution of regulation
          was insightful, and I think somewhat fits, with a couple of
          exceptions.  The final phase to self-regulation is ideal, and
          is not complete and I don't think will ever be complete. 
          Large corporations can make a marketing campaign out of being
          green, and get dollar value out of it , but that's not going
          to be cost effective for the small and medium size businesses,
          and for some, you will always need some regulation because
          it's a cruel world, after all.     However, to apply effective
          regulation to the secure web applications industry, it needs
          to be measurable like pollution.   I agree that the market
          will continue to be "broken" until we can make security
          measurable and visible, as Jeff and so many others are always
          on about.  I think the security labeling idea from  Jeff's
          AppSec DC talk, is maybe a little hokey, and little hard to
          see how we can make it work, but I don't see too many other
          ways forward at this point, for making security visible.  I'd
          like to see this as a part of OWASP 4.0 discussion.  So what
          do you think?   <br>
          <br>
          <o:p></o:p></p>
        <pre>-- Ralph Durkee, CISSP, GSEC, GCIH, GSNA, GCIA, GPEN<o:p></o:p></pre>
        <pre>GCC, Rochester OWASP<o:p></o:p></pre>
        <pre><o:p> </o:p></pre>
        <p class="MsoNormal"><br>
          On 12/7/2010 11:36 PM, Jeff Williams wrote: <o:p></o:p></p>
        <p class="MsoNormal">Hi everyone,<o:p></o:p></p>
        <p class="MsoNormal"> <o:p></o:p></p>
        <p class="MsoNormal">In my mind, OWASP 1.0 was pre-wiki with
          lots of great work and a less great infrastructure.  OWASP 2.0
          was establishing the 501c3, putting in the wiki, and getting
          lots of great projects started. OWASP 3.0 started with the
          Summit in Portugal when we created the new committees and has
          focused on creating thriving projects instead of standalone
          tools.  Thank you for all of your efforts growing a fun,
          civil, productive community.<o:p></o:p></p>
        <p class="MsoNormal"> <o:p></o:p></p>
        <p class="MsoNormal">I reach out to you now to ask you to take
          some time and think about what OWASP should become.  The time
          has come to measure our success not by the number of members,
          projects, and conferences, but by whether we are succeeding at
          making the world’s software more secure. It’s time to get our
          message and strategy to the next level.<o:p></o:p></p>
        <p class="MsoNormal"> <o:p></o:p></p>
        <p class="MsoNormal"><b>HELP DESIGN OWASP 4.0 IN PORTUGAL AT THE
            SUMMIT!</b><o:p></o:p></p>
        <p class="MsoNormal"> <o:p></o:p></p>
        <p class="MsoNormal">If you consider yourself an OWASP Leader,
          won’t you take a few minutes of quiet time and propose a few
          ideas for how OWASP can retool, reorganize, refocus, and
          revamp itself to really achieve our mission?  We will rip,
          mix, and burn these ideas into a new strategy for OWASP at the
          Portugal Summit.  I encourage you to check out the resort and
          all the plans happening right now at <a
            moz-do-not-send="true"
            href="http://www.owasp.org/index.php/Summit_2011">http://www.owasp.org/index.php/Summit_2011</a>.
          <o:p></o:p></p>
        <p class="MsoNormal"> <o:p></o:p></p>
        <p class="MsoNormal">Here are some ideas to get you started.<o:p></o:p></p>
        <p class="MsoNormal"> <o:p></o:p></p>
        <p class="MsoListParagraph" style="text-indent: -0.25in;">We
          bootstrap several application security ecosystems around key
          technologies like mobile, cloud, REST<o:p></o:p></p>
        <p class="MsoListParagraph" style="text-indent: -0.25in;">We
          reach out to governments around the world to help them push
          for application security<o:p></o:p></p>
        <p class="MsoListParagraph" style="text-indent: -0.25in;">We
          raise money to fund real security enhancements to tools,
          browsers, protocols (e.g. OpenSSL)<o:p></o:p></p>
        <p class="MsoListParagraph" style="text-indent: -0.25in;">We
          make the OWASP materials more usable by providing a “user”
          site and keep the wiki for development<o:p></o:p></p>
        <p class="MsoListParagraph" style="text-indent: -0.25in;">We
          invest in marketing AppSec – How do we scale David Rice and
          the “greening” of AppSec<o:p></o:p></p>
        <p class="MsoListParagraph" style="text-indent: -0.25in;">We
          continue our education initiative – academies, college
          chapters, videos, curriculum<o:p></o:p></p>
        <p class="MsoListParagraph" style="text-indent: -0.25in;">We
          continue our browser initiative and do whatever it takes to
          get the browsers and frameworks talking<o:p></o:p></p>
        <p class="MsoListParagraph" style="text-indent: -0.25in;">We
          invest in getting in front of new technologies like HTML5<o:p></o:p></p>
        <p class="MsoListParagraph" style="text-indent: -0.25in;">We
          launch a no-holds barred XSS eradication campaign<o:p></o:p></p>
        <p class="MsoListParagraph" style="text-indent: -0.25in;">We
          create a set of objective AppSec *<b>market</b>* metrics that
          quantify the state of our art<o:p></o:p></p>
        <p class="MsoListParagraph" style="text-indent: -0.25in;">We
          continue to push on creating standards<o:p></o:p></p>
        <p class="MsoListParagraph" style="text-indent: -0.25in;">???<o:p></o:p></p>
        <p class="MsoNormal"> <o:p></o:p></p>
        <p class="MsoNormal">We need your ideas NOW.  Get yourself on
          the list!<o:p></o:p></p>
        <p class="MsoNormal"> <o:p></o:p></p>
        <p class="MsoNormal"><a moz-do-not-send="true"
            href="http://www.owasp.org/index.php/Summit_2011#tab=Summit_Attendees">http://www.owasp.org/index.php/Summit_2011#tab=Summit_Attendees</a>
          <o:p></o:p></p>
        <p class="MsoNormal"> <o:p></o:p></p>
        <p class="MsoNormal">In one week of thinking, arguing, coding,
          hacking, and writing we are going to accomplish more than the
          rest of the world’s appsec efforts combined.  We’ll see you in
          Portugal ready to rock.  Thanks!<o:p></o:p></p>
        <p class="MsoNormal"> <o:p></o:p></p>
        <p class="MsoNormal">--Jeff<o:p></o:p></p>
        <p class="MsoNormal"> <o:p></o:p></p>
        <p class="MsoNormal"> <o:p></o:p></p>
        <pre><o:p> </o:p></pre>
        <pre>_______________________________________________<o:p></o:p></pre>
        <pre>OWASP-Leaders mailing list<o:p></o:p></pre>
        <pre><a moz-do-not-send="true" href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><o:p></o:p></pre>
        <pre><a moz-do-not-send="true" href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><o:p></o:p></pre>
      </div>
      <table>
        <tbody>
          <tr>
            <td bgcolor="#ffffff"><font color="#000000">
                <pre>Virtusa was recently ranked and featured in 2010 Deloitte Technology Fast 500, 2010 Global Services 100, IAOP's 2010 Global Outsourcing 100 sub-list and 2010 FinTech 100 among others.

---------------------------------------------------------------------------------------------

This message, including any attachments, contains confidential information intended for a specific individual and purpose, and is intended for the addressee only. Any unauthorized disclosure, use, dissemination, copying, or distribution of this message or any of its attachments or the information contained in this e-mail, or the taking of any action based on it, is strictly prohibited. If you are not the intended recipient, please notify the sender immediately by return e-mail and delete this message.

---------------------------------------------------------------------------------------------</pre>
              </font></td>
          </tr>
        </tbody>
      </table>
      <pre wrap="">
<fieldset class="mimeAttachmentHeader"></fieldset>
_______________________________________________
OWASP-Leaders mailing list
<a class="moz-txt-link-abbreviated" href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a>
<a class="moz-txt-link-freetext" href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a>
</pre>
    </blockquote>
  </body>
</html>