<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=us-ascii"><meta name=Generator content="Microsoft Word 14 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
        {font-family:Times;
        panose-1:2 2 6 3 5 4 5 2 3 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
        {mso-style-priority:99;
        mso-style-link:"Balloon Text Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:8.0pt;
        font-family:"Tahoma","sans-serif";}
p.s3, li.s3, div.s3
        {mso-style-name:s3;
        mso-margin-top-alt:auto;
        margin-right:0in;
        mso-margin-bottom-alt:auto;
        margin-left:0in;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
p.s2, li.s2, div.s2
        {mso-style-name:s2;
        mso-margin-top-alt:auto;
        margin-right:0in;
        mso-margin-bottom-alt:auto;
        margin-left:0in;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
span.apple-style-span
        {mso-style-name:apple-style-span;}
span.s4
        {mso-style-name:s4;}
span.s21
        {mso-style-name:s21;}
span.s5
        {mso-style-name:s5;}
span.s6
        {mso-style-name:s6;}
span.s7
        {mso-style-name:s7;}
span.EmailStyle25
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.EmailStyle26
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.BalloonTextChar
        {mso-style-name:"Balloon Text Char";
        mso-style-priority:99;
        mso-style-link:"Balloon Text";
        font-family:"Tahoma","sans-serif";}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body bgcolor=white lang=EN-US link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Dinis,<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p>&nbsp;</o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Congrats on the move.&nbsp; As you know, I&#8217;m concerned about commercial companies releasing &#8216;crippled&#8217; versions of their tool at OWASP as an advertisement to buy the full version.&nbsp; I think the current SI pages and app as released right now are over this line.&nbsp; The product looks like an OWASP project, but is hosted on an SI domain and clearly advertises a commercial product.&nbsp; I believe this is misleading.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p>&nbsp;</o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>I understand and appreciate that you are trying to find a model for commercial entities and OWASP to work together.&nbsp; However, OWASP&#8217;s reputation depends on our independence and objectivity.&nbsp; You have been the most staunch defender of this in the past. <o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p>&nbsp;</o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>I <u>want</u> OWASP to engage with commercial entities.&nbsp; Particularly when multiple commercial entities all have the same need and want to collaborate through OWASP.&nbsp; And I agree that we need to define some rules around this kind of commercial-OWASP partnership.&nbsp; In fact that&#8217;s what I tried to do with John in the OWASP <a href="https://docs.google.com/document/d/1ea4jWVDziLcZMTJUC5qW5psWYROpB-oPlqyl4Ei2xHA/edit?hl=en_US&amp;authkey=CKycuTY&amp;pli=1">Partnership Model</a>.&nbsp; I&#8217;m not as sure about how to engage with security product vendors.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p>&nbsp;</o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>But I don&#8217;t believe that either TeamMentor or Exams are real OWASP projects.&nbsp; To my knowledge there has been no effort to create a real project with mailing lists, wiki pages, community participation, and *<b>most importantly</b>* an open source repository of the code.&nbsp; The TeamMentor code isn&#8217;t even open source.&nbsp; Are there any other committers or participants?&nbsp;&nbsp; The recent changes (now deleted) to Wikipedia&#8217;s OWASP article marketing the project are particularly concerning.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p>&nbsp;</o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>If the model is that the *<b>content</b>* is to be an OWASP maintained project, while the *<b>tool</b>* to use the content is to be an SI commercial product, then forget it.&nbsp; I won&#8217;t spend my energy maintaining it.&nbsp; And I don&#8217;t think OWASP should encourage this.&nbsp; If there&#8217;s CC content on the OWASP wiki that SI wants to use in their product (with respect to the license) then great.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p>&nbsp;</o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>One model that does work is to actually open source the tool and then provide commercial support.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p>&nbsp;</o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>--Jeff<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p>&nbsp;</o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p>&nbsp;</o:p></span></p><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From:</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> owasp-leaders-bounces@lists.owasp.org [mailto:owasp-leaders-bounces@lists.owasp.org] <b>On Behalf Of </b>Dave Wichers<br><b>Sent:</b> Thursday, August 18, 2011 1:53 PM<br><b>To:</b> 'dinis cruz'; owasp-leaders@lists.owasp.org<br><b>Cc:</b> 'Maureen Robinson'; 'Tom Bain'<br><b>Subject:</b> Re: [Owasp-leaders] For comment: OWASP references on SI's Press Release, Commercial Support of an OWASP project<o:p></o:p></span></p></div></div><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Regarding the proposed Press Release, I don&#8217;t see anything in it that I would consider abusing the OWASP brand.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p>&nbsp;</o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Regarding OWASP O2 commercial services, I think if your website includes the points you have listed below, that this is an SI service, and NOT an OWASP provided or endorsed service, then that&#8217;s the main points to get across. And these points need to be clear and obvious, not buried in the fine print. Others may think of other things to mention, and documenting them in some kind of OWASP Code of Conduct page for how to represent commercial support around OWASP projects is a good idea, because I&#8217;m sure we will learn things and we can update this page with both expected behavior, and also list &#8216;examples&#8217; of behavior that we don&#8217;t like (potentially taken from real world abuse cases, but sanitized to not reflect the real original offender).<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p>&nbsp;</o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>My initial thoughts anyway.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p>&nbsp;</o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>-Dave<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p>&nbsp;</o:p></span></p><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From:</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> owasp-leaders-bounces@lists.owasp.org [mailto:owasp-leaders-bounces@lists.owasp.org] <b>On Behalf Of </b>dinis cruz<br><b>Sent:</b> Thursday, August 18, 2011 1:26 PM<br><b>To:</b> owasp-leaders@lists.owasp.org<br><b>Cc:</b> Maureen Robinson; Tom Bain<br><b>Subject:</b> [Owasp-leaders] For comment: OWASP references on SI's Press Release, Commercial Support of an OWASP project<o:p></o:p></span></p></div></div><p class=MsoNormal><o:p>&nbsp;</o:p></p><div><p class=MsoNormal>As some of might have noticed, I recently joined SI (Security &nbsp;Innovation) as an Employee (for more details on why I did it, see this personal blog entry <a href="http://diniscruz.blogspot.com/2011/08/joining-security-innovation-si-as.html">http://diniscruz.blogspot.com/2011/08/joining-security-innovation-si-as.html</a>)<o:p></o:p></p></div><div><p class=MsoNormal><o:p>&nbsp;</o:p></p></div><div><p class=MsoNormal>Due to the power of the OWASP brand, SI's marketing department wants to issue a Press Release (PR) with this bit of news. This has happen a number of times before for other OWASP leaders and products, and sometimes the fine line of 'marketing' and abusing the OWASP brand (or overstating particular facts) gets crossed. For example, SI did issue a Press Release a couple months ago that could had benefited from some OWASP peer review :).<o:p></o:p></p></div><div><p class=MsoNormal><o:p>&nbsp;</o:p></p></div><div><p class=MsoNormal>Part of what I want to do at SI, is to create frame-of-references/examples for how commercial companies should behave around OWASP, and SI (so far) has tried very hard to play by OWASP rules (even when they don't exist or are not explicitly defined)<span class=apple-style-span>. Not to say that they haven't made mistakes in the past, but they are trying hard.</span><o:p></o:p></p></div><div><p class=MsoNormal style='margin-bottom:12.0pt'><o:p>&nbsp;</o:p></p></div><div><p class=MsoNormal><span class=apple-style-span>So, the first part of this email is a question to you: &quot;Is the PR included at the end of this email OK?' &nbsp; Please be brutal in your feedback and if you fell changes should be made, please let us know (I'm CCing Tom and Maureen from SI marketing department, so if relevant, please include them on your replies (the cut-of-point is next Monday at&nbsp;12pm EST, with a publishing date of Tuesday)). I made some changes to the original version, but remember that this is a Press Release :)</span><o:p></o:p></p></div><div><p class=MsoNormal style='margin-bottom:12.0pt'><o:p>&nbsp;</o:p></p></div><div><p class=MsoNormal><span class=apple-style-span>The 2nd question on this email is related to the fact that SI is going to offer (i.e. sell) commercial Support for an OWASP project, in this case the OWASP O2 Platform.&nbsp;</span><o:p></o:p></p></div><div><p class=MsoNormal style='margin-bottom:12.0pt'><o:p>&nbsp;</o:p></p></div><div><p class=MsoNormal><span class=apple-style-span>The original focus is going to be on using O2 to customise existing AppSec tools in order to make them 'Framework Aware', and on the automation of AppSec security reviews (i.e. delivering of security findings as unit tests for developers). Btw, I'm still hurting from the fact that SI (due to market demand) wants to build training content on ESAPI and not on O2 &nbsp;:)</span><o:p></o:p></p></div><div><p class=MsoNormal style='margin-bottom:12.0pt'><o:p>&nbsp;</o:p></p></div><div><p class=MsoNormal><span class=apple-style-span>The question is: &quot;How can this type of services be represented at OWASP's website and to OWASP's community?&quot;&nbsp;</span><o:p></o:p></p></div><div><p class=MsoNormal style='margin-bottom:12.0pt'><o:p>&nbsp;</o:p></p></div><div><p class=MsoNormal><span class=apple-style-span>For example what disclaimers should be make to make sure this is not perceived as an 'OWASP provided service'. Maybe we should create a Code of Conduct book for these cases?</span><o:p></o:p></p></div><div><p class=MsoNormal style='margin-bottom:12.0pt'><o:p>&nbsp;</o:p></p></div><div><p class=MsoNormal><span class=apple-style-span>I believe this to be a really good development for OWASP, and I do wish that other companies provided commercial support/services on OWASP projects, for example: WebGoat, ESAPI, ASVS, WebScarab/Zap, Top 10, Legal, Encoding libraries, Testing/Code/Developer guides, Cheat-Sheets, etc...</span><o:p></o:p></p></div><div><p class=MsoNormal style='margin-bottom:12.0pt'><o:p>&nbsp;</o:p></p></div><div><p class=MsoNormal><span class=apple-style-span>Of course that since OWASP projects are all licensed with an OpenSource or CC license, it will not be possible for ONE company to be the ONLY provider of theses services. Ideally we should have multiple companies providing these commercial services (each with its own unique positioning, strengths and offerings). It would then be a case of the market deciding on which one they want to reward with their businesses.</span><o:p></o:p></p></div><div><p class=MsoNormal style='margin-bottom:12.0pt'><o:p>&nbsp;</o:p></p></div><div><p class=MsoNormal><span class=apple-style-span>These are unchartered territories, but the good news is that finally (with SI's officially supporting O2) we have a real world scenario to deal with (in the past we spent too much time theorising about the multiple hypothetical scenarios and abuses)</span><o:p></o:p></p></div><div><p class=MsoNormal style='margin-bottom:12.0pt'><o:p>&nbsp;</o:p></p></div><div><p class=MsoNormal><span class=apple-style-span>The best way to get things done at OWASP is to try new ideas, see how they go, listen to the feedback received, and improve on the next version.</span><o:p></o:p></p></div><div><p class=MsoNormal style='margin-bottom:12.0pt'><o:p>&nbsp;</o:p></p></div><div><p class=MsoNormal><span class=apple-style-span>So me and SI are kickstarting this, and hopefully others will follow.</span><o:p></o:p></p></div><div><p class=MsoNormal style='margin-bottom:12.0pt'><o:p>&nbsp;</o:p></p></div><div><p class=MsoNormal><span class=apple-style-span>(note: there is already an OWASP project that was going to try to get happen, but it had no energy, maybe now is the time to restart it)</span><o:p></o:p></p></div><div><p class=MsoNormal style='margin-bottom:12.0pt'><o:p>&nbsp;</o:p></p></div><div><p class=MsoNormal>Dinis Cruz<o:p></o:p></p></div><div><p class=MsoNormal><o:p>&nbsp;</o:p></p></div><div><p class=MsoNormal>(below is the full text of the PR that will be published next Tuesday)<o:p></o:p></p></div><div><p class=MsoNormal><o:p>&nbsp;</o:p></p></div><p class=s3 align=center style='margin:0in;margin-bottom:.0001pt;text-align:center'><span style='font-size:13.5pt;font-family:"Times","serif"'>&nbsp;<o:p></o:p></span></p><p class=s3 align=center style='margin:0in;margin-bottom:.0001pt;text-align:center'><span class=s4><b><span style='font-size:13.5pt;font-family:"Times","serif"'>Security Innovation Announces the Hiring of&nbsp;Web Application Security Expert&nbsp;Dinis Cruz as</span></b></span><span style='font-size:13.5pt;font-family:"Times","serif"'><o:p></o:p></span></p><p class=s3 align=center style='margin:0in;margin-bottom:.0001pt;text-align:center'><span class=s4><b><span style='font-size:13.5pt;font-family:"Times","serif"'>Principal Security Engineer</span></b></span><span style='font-size:13.5pt;font-family:"Times","serif"'><o:p></o:p></span></p><p class=s3 align=center style='margin:0in;margin-bottom:.0001pt;text-align:center'><span style='font-size:13.5pt;font-family:"Times","serif"'>&nbsp;<o:p></o:p></span></p><p class=s2 style='margin:0in;margin-bottom:.0001pt;line-height:15.75pt'><span class=s4><b><span style='font-size:13.5pt;font-family:"Times","serif"'>Wilmington, Mass., August&nbsp;22, 2011&nbsp;</span></b></span><span class=s21><span style='font-size:13.5pt;font-family:"Times","serif"'>&#8211;&nbsp;</span></span><span style='font-size:13.5pt;font-family:"Times","serif"'><a href="http://securityinnovation.com/"><span class=s5><b>Security Innovation</b></span></a><span class=s21>,a leading organization specializing in application security products and services,&nbsp;has&nbsp;announced that it has&nbsp;hired Dinis Cruz as Principal Security Engineer. This strategic appointment supports Security Innovation&#8217;s&nbsp;goal, which is to provide its customers with solutions designed to help protect their most coveted assets through securely developing applications.</span><o:p></o:p></span></p><p class=s2 style='margin:0in;margin-bottom:.0001pt;line-height:15.75pt'><span style='font-size:13.5pt;font-family:"Times","serif"'><o:p>&nbsp;</o:p></span></p><p class=s2 style='margin:0in;margin-bottom:.0001pt;line-height:15.75pt'><span class=s21><span style='font-size:13.5pt;font-family:"Times","serif"'>Cruz will serve as&nbsp;a&nbsp;lead architect and visionary, driving the design and evolution of the company&#8217;s knowledgebase repository product,&nbsp;TeamMentor&nbsp;Enterprise Edition. Cruz will be responsible for re-architect the solution to better serve security&nbsp;and&nbsp;development &nbsp;teams, with a particular focus on integration with other products, frameworks, and&nbsp;automatedassessment activities. He&#8217;ll&nbsp;also&nbsp;continue to lead the company&#8217;sstrategic&nbsp;initiatives with the open-source community.</span></span><span style='font-size:13.5pt;font-family:"Times","serif"'><o:p></o:p></span></p><p class=s2 style='margin:0in;margin-bottom:.0001pt;line-height:15.75pt'><span style='font-size:13.5pt;font-family:"Times","serif"'><o:p>&nbsp;</o:p></span></p><p class=s2 style='margin:0in;margin-bottom:.0001pt;line-height:15.75pt'><span class=s21><span style='font-size:13.5pt;font-family:"Times","serif"'>&#8220;Dinis has been a part of our extended team, working on product development projects over the last several months. Now that he is officially joining us as an employee, we&#8217;re&nbsp;excited&nbsp;to have him fully engaged,&nbsp;enhancing our unique portfolio of application security-specific products and services,&#8221; said Jason Taylor, chief technology officer, Security Innovation. &#8220;We are focused on adding respected application security experts to our staff&nbsp;to enable our customers to build the most secure applications in the world.&#8221;</span></span><span style='font-size:13.5pt;font-family:"Times","serif"'><o:p></o:p></span></p><p class=s2 style='margin:0in;margin-bottom:.0001pt;line-height:15.75pt'><span style='font-size:13.5pt;font-family:"Times","serif"'><o:p>&nbsp;</o:p></span></p><p class=s2 style='margin:0in;margin-bottom:.0001pt;line-height:15.75pt'><span class=s21><span style='font-size:13.5pt;font-family:"Times","serif"'>Cruz brings extensive Web application security experience to his role with Security Innovation.&nbsp;Previously, Cruz served as Director of Advanced Technology with Ounce Labs and specialized in code reviews, penetration testing,&nbsp;</span></span><span style='font-size:13.5pt;font-family:"Times","serif"'><a href="http://ASP.NET/"><span class=s6>ASP.NET</span></a><span class=s21>application security and security engineering.&nbsp;As an active OWASP leader and contributor, Cruz&nbsp;has been rewriting the Open Source OWASP O2 Platform.&nbsp;He served as an OWASP Board Member (2005 to 2011) and&nbsp;has&nbsp;lead important initiatives like the OWASP Seasons of Code, OWASP Summits (2008 and 2011), OWASP books, and a number of OWASP .NET projects. As the main developer of OWASP O2 Platform, Cruz&#8217;s vision is to automate application security knowledge and he has designed O2 to be an industry standard for data-sharing between&nbsp;WebAppSec&nbsp;tools, consultants and final users. He is also a regular industry speaker, having delivered technical presentations and training at numerous OWASP conferences and&nbsp;BlackHat.</span><o:p></o:p></span></p><p class=s2 style='margin:0in;margin-bottom:.0001pt;line-height:15.75pt'><span style='font-size:13.5pt;font-family:"Times","serif"'><o:p>&nbsp;</o:p></span></p><p class=s2 style='margin:0in;margin-bottom:.0001pt;line-height:15.75pt'><span class=s21><span style='font-size:13.5pt;font-family:"Times","serif"'>Cruz will also work closely with SI&#8217;s Application Security services team delivering&nbsp;</span></span><span style='font-size:13.5pt;font-family:"Times","serif"'><a href="http://www.securityinnovation.com/services/"><span class=s6>software and SDLC assessments</span></a><span class=s21>&nbsp;and help to create Security Innovation&nbsp;supported versions of the OWASP O2 Platform, Specifically, this effort is&nbsp;designed to integrate and consolidate the data created by tools or services like&nbsp;IBM Rational&nbsp;AppScan,&nbsp;Veracode,&nbsp;WhiteHat, Microsoft <a href="http://CAT.NET">CAT.NET</a>, OWASP Zap Proxy, Burp Proxy, HP Fortify&nbsp;and other open source tools to make them &#8216;Framework Aware&#8217; and connect them with existing&nbsp;SDLC&nbsp;tools and processes.</span><o:p></o:p></span></p><p class=s2 style='margin:0in;margin-bottom:.0001pt;line-height:15.75pt'><span style='font-size:13.5pt;font-family:"Times","serif"'><o:p>&nbsp;</o:p></span></p><p class=s2 style='margin:0in;margin-bottom:.0001pt;line-height:15.75pt'><span class=s21><span style='font-size:13.5pt;font-family:"Times","serif"'>&#8220;What started as writing some code for&nbsp;TeamMentor&nbsp;a few months ago, turned into a longer-term project that really allowed me to get a feeling for what it&#8217;s like to work with Security Innovation,&#8221; said Cruz. &#8220;I was impressed by the company&#8217;s application security knowledge and there was an obvious&nbsp;synergy between us. We believe in the same best practices and methodologies for architecting secure software and making that knowledge broadly available.&#8221; he added.</span></span><span style='font-size:13.5pt;font-family:"Times","serif"'><o:p></o:p></span></p><p class=s2 style='margin:0in;margin-bottom:.0001pt;line-height:15.75pt'><span class=s21><span style='font-size:13.5pt;font-family:"Times","serif"'>Cruz is an active blogger. His views on joining Security Innovation and other security-related topics can be found on the</span></span><span style='font-size:13.5pt;font-family:"Times","serif"'><a href="http://diniscruz.blogspot.com/"><span class=s6>Dinis Cruz Blog</span></a><span class=s21>&nbsp;and on&nbsp;</span><a href="http://web.securityinnovation.com/blog/"><span class=s6>Security Innovation&#8217;s Application and Cyber Security blog</span></a><span class=s21>.</span><a name="_GoBack"></a><o:p></o:p></span></p><p class=s2 style='margin:0in;margin-bottom:.0001pt;line-height:15.75pt'><span style='font-size:13.5pt;font-family:"Times","serif"'><o:p>&nbsp;</o:p></span></p><p class=s2 style='margin:0in;margin-bottom:.0001pt;line-height:15.75pt'><span class=s4><b><span style='font-size:13.5pt;font-family:"Times","serif"'>About Security Innovation</span></b></span><span style='font-size:13.5pt;font-family:"Times","serif"'><br><span class=s21>Security Innovation is an established leader in the application security and cryptography space. For over a decade the company has provided products, training and consulting services to help organizations build and deploy more secure systems and improve the process by which their applications are built.&nbsp;</span><br><span class=s21>Security Innovation built upon its core competencies in application security with the acquisition of NTRUCryptoSystems&nbsp;in 2009, a company that developed proprietary, standardized algorithms. This resulted in the strongest and fastest public key cryptography available and the means to overcome historical performance barriers that have plagued the encryption industry. With these core strengths intact, Security Innovation is in a position to help organizations protect their data at two critical points: while applications are accessing it and during transmission. The company&#8217;s flagship products include&nbsp;</span><a href="http://www.securityinnovation.com/products/elearning/courses.shtml"><span class=s6>TeamProfessor</span></a><span class=s21>, the industry&#8217;s largest library of application eLearning courses, and&nbsp;</span><a href="http://www.securityinnovation.com/products/team-mentor/index.shtml"><span class=s6>TeamMentor</span></a><span class=s21>, a web-based secure development methodologies product.&nbsp;</span><br><br><span class=s21>Security Innovation is privately held and is headquartered in Wilmington, MA USA.</span><br><span class=s7><i>Note to Editors: Security Innovation,&nbsp;NTRUEncrypt,TeamMentor,&nbsp;TeamProfessor&nbsp;and the Security Innovation logo are trademarks of Security Innovation. All other brand names may be trademarks of their respective owners.&nbsp;</i></span><o:p></o:p></span></p><p class=s2 style='margin:0in;margin-bottom:.0001pt;line-height:15.75pt'><span class=s4><b><span style='font-size:13.5pt;font-family:"Times","serif"'>Contacts</span></b></span><span style='font-size:13.5pt;font-family:"Times","serif"'><br><span class=s21>Maureen Robinson</span><br><span class=s21>Security Innovation&nbsp;</span><br><span class=s21>(978) 694-1008 X21</span><b><br></b><a href="mailto:mrobinson@securityinnovation.com"><span class=s6>mrobinson@securityinnovation.com</span></a><o:p></o:p></span></p><p class=s2 style='margin:0in;margin-bottom:.0001pt;line-height:15.75pt'><span class=s21><span style='font-size:13.5pt;font-family:"Times","serif"'>April Corso</span></span><span style='font-size:13.5pt;font-family:"Times","serif"'><br><span class=s21>Lois Paul &amp; Partners&nbsp;</span><br><span class=s21>(781) 782-5831</span><br><a href="mailto:april_corso@lpp.com"><span class=s6>april_corso@lpp.com</span></a><o:p></o:p></span></p></div></body></html>