There has been some discussion on the owasp-leaders list about how audit relates to appsec and vice versa--see for example threads "developers, Developers, DEVELOPERS!" (Dec 2010), "Creating OWASP 4.0!" (Dec 2010), "ISACA and OWASP" (May 2010), and "Question on ISACA" (November 2009) in the archives. I have a feeling there isn't more discussion because developers and/or security folks are convinced that audit cannot or will not help. I think it might benefit Summit attendees to hear about audit and control perspectives, air their grievances, and discuss how OWASP can help testers, developers, and security folks work together with auditors for their benefit.
<div><br></div><div>Therefore I&#39;ve created a proposed Summit working session (<a href="http://www.owasp.org/index.php/Summit_2011_Working_Sessions/Session082">http://www.owasp.org/index.php/Summit_2011_Working_Sessions/Session082</a>). If you&#39;re interested in this topic, please put your name down as a potential attendee and note what points interest you most. If you&#39;d like to make a presentation or facilitate a discussion related to this topic, please let me know so we can work together on ideas. If you have any suggestions for points you&#39;d like to see covered in related presentations or discussions, please let me know or post them to the working sessions mailing list (<a href="https://groups.google.com/a/owasp.org/group/summit-2011-working-sessions/topics?pli=1">https://groups.google.com/a/owasp.org/group/summit-2011-working-sessions/topics?pli=1</a>).</div>

<div><br></div><div>Thanks for your time.</div><div><br></div><div>Matt</div><div><br></div><div>P.S. I&#39;ve cross-posted this to owasp-leaders and owasp-summit-2011 for visibility. If you&#39;re not on the summit-2011-working-sessions list and wish to reply, please join that list and reply there to minimize clutter.</div>