<HTML>
<HEAD>
<TITLE>Re: [Owasp-leaders] MUST READ: Establishing a Software Ecosystem that Produces Security</TITLE>
</HEAD>
<BODY>
<FONT FACE="Calibri, Verdana, Helvetica, Arial"><SPAN STYLE='font-size:11pt'>Good call on bringing attention to this Dinis. <BR>
<BR>
I think that there are a lot of things in Jeff&#8217;s paper that we have all said individually, but Jeff really does a fantastic job of bringing it all together and really honing in on exactly what the problem that we are facing is. I am very anxious to see how the development and management level communities respond to this article &#8211; I think that it will definitely get some conversation rolling when it hits the mainstream and as we all know, it only takes a couple people talking and spinning up ideas to come up with something huge that echoes throughout entire communities. This could be that pebble in the pond and I think we should all do our part to bring the conversation out of people when it hits the stands. Blog about the article, tweet it, reference it, e-mail it around to your local OSUGs and Meet-up groups, and spread the word. Jeff does a great job in planting the seeds for change with this paper and it is up to all of us to help it grow into what it can be. <BR>
<BR>
<BR>
<BR>
<BR>
On 2/21/11 7:56 PM, &quot;dinis cruz&quot; &lt;<a href="dinis.cruz@owasp.org">dinis.cruz@owasp.org</a>&gt; wrote:<BR>
<BR>
</SPAN></FONT><BLOCKQUOTE><FONT FACE="Calibri, Verdana, Helvetica, Arial"><SPAN STYLE='font-size:11pt'>I think most of you missed this VERY important paper (attached) from Jeff that he originally included on on this 'Myth of the OWASP board / Not going for re-election' email.<BR>
<BR>
I just read this 7 page document today and I have to say that it is an AMAZING presentation of the problems our industry historically has faced. This document also presents a great solution which (from my point of view) is spot on!<BR>
<BR>
If we can create a software development culture that promotes and rewards security, we will be able to finally change the way apps are created, sold and consumed/used.<BR>
<BR>
I think this presentation should be delivered at ALL OWASP chapters around the world, and hopefully very soon we will have a recorded audio/video version (with slides) of this presentation by Jeff (or others).<BR>
<BR>
For reference here is the paper's abstract (note that it this will be officially published on the next edition of Crosstalk, so please consider this a soft release for OWASP leaders consumption):<BR>
<BR>
<FONT COLOR="#1F497D">Abstract: What if the key to efficiently and reliably producing secure code is not better tools or processes, but our software development culture? In this paper, we examine the reasons why software ecosystems systematically discourage security, and what organizations can do about them. We suggest that the most important thing an organization can do is to influence their software development ecosystems to ensure that security is visible, collaborative, and measured. A healthy software ecosystem will enable builders and breakers to iterate quickly, improving security and building history. To give the ecosystem direction, we suggest creating selective pressure for code with both strength and simplicity. Anyone interested in exploring this idea is encouraged to join us at OWASP.<BR>
</FONT><BR>
<FONT COLOR="#1F497D"><BR>
</FONT>Dinis Cruz<BR>
<BR>
<HR ALIGN=CENTER SIZE="3" WIDTH="95%"></SPAN></FONT><FONT SIZE="2"><FONT FACE="Consolas, Courier New, Courier"><SPAN STYLE='font-size:10pt'>_______________________________________________<BR>
OWASP-Leaders mailing list<BR>
<a href="OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><BR>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><BR>
</SPAN></FONT></FONT></BLOCKQUOTE><FONT SIZE="2"><FONT FACE="Consolas, Courier New, Courier"><SPAN STYLE='font-size:10pt'><BR>
</SPAN></FONT></FONT><FONT FACE="Calibri, Verdana, Helvetica, Arial"><SPAN STYLE='font-size:11pt'>Chris Schmidt<BR>
ESAPI Project Manager (<a href="http://www.esapi.org">http://www.esapi.org</a>)<BR>
ESAPI4JS Project Owner (<a href="http://bit.ly/9hRTLH">http://bit.ly/9hRTLH</a>)<BR>
Blog: <a href="http://yet-another-dev.blogspot.com">http://yet-another-dev.blogspot.com</a><BR>
<BR>
</SPAN></FONT>
</BODY>
</HTML>