Yes, its a great idea. <a href="https://www.owasp.org/index.php/FLOSSHack" target="_blank">FLOSSHack</a> is one of those 'magical' spaces where the OWASP's community and its projects can come together and add a lot of value.<div>
<br></div><div>
In fact I remember the idea of doing something like this at the last Summit(s) but we couldn't find a FLOSS or commercial vendor that wanted to 'play the game' :)<br><div><br></div><div>Btw, I will be happy to help if a chapter wants to do a similar FLOSSHack on <a href="http://owasp.teammentor.net" target="_blank">TeamMentor</a> (which is the project I'm currently the lead developer and architect)</div>

<div><br></div><div>Although TeamMentor (TM) is not OpenSource, it is very close, since the <a href="https://github.com/TeamMentor-OWASP/Master" target="_blank">source code is available</a> and SI allowed me to 'open it' as much (if not more) as other OpenSource projects (note that TeamMentor uses O2 Platform <a href="https://nuget.org/packages?q=fluentsharp">FluentSharp APIs</a>, and there has been significant changes/features in the <a href="http://diniscruz.blogspot.co.uk/p/owasp-o2-platform.html">latest version of O2</a> which are a direct consequence of my TeamMentor development activities (for example the <a href="http://visualstudiogallery.msdn.microsoft.com/295fa0f6-37d1-49a3-b51d-ea4741905dc2">O2 VisualStudio Extension</a> or the  <a href="http://diniscruz.blogspot.co.uk/p/real-time-vulnerability-feedback-in.html">Real-Time Vulnerability Feedback in VisualStudio</a> PoC)).</div>

<div><br></div><div>I'm quite proud of the level of openness that TM has, and I hope that other commercial tools follow these ideas/activities. Here are a couple blog posts I wrote about TM's Security:</div><div>
<ul><li><a href="http://diniscruz.blogspot.co.uk/2012/10/teammentor-vulnerability-disclosures.html" target="_blank">TeamMentor Vulnerability Disclosures: CSRF , ClickJacking and Get Password Hash from Browser Memory</a>  - checkout the emdeded pdfs with details of the vulnerabilities</li>

<li><a href="http://diniscruz.blogspot.co.uk/2012/10/couple-xss-issues-and-xss-by-design-in.html" target="_blank">Couple XSS issues and XSS-By-Design (in TeamMentor)</a>  - and why they were not fixed in the current 3.2 release</li>
<li><a href="http://diniscruz.blogspot.co.uk/2012/10/about-page-broken-due-to-clickjacking.html" target="_blank">'About' page broken due to ClickJacking protection</a>  - good example of the Security TAX that we (developers) have to pay due to security fixes</li>

<li><a href="http://diniscruz.blogspot.co.uk/2012/10/creating-teammentor-security-bounty.html" target="_blank">Creating an TeamMentor Security Bounty Program</a> - still need to publicly launch this, but for all practical purposes it is active</li>

<li><a href="http://diniscruz.blogspot.co.uk/2012/09/test-and-hack-teammentor-server-with-32.html" target="_blank">Test and Hack TeamMentor server with 3.2 RC5 code and SI library</a> - lastest 'please hack TM' invite</li>
<li><a href="http://diniscruz.blogspot.co.uk/2011/12/o2-in-seattle-and-please-hack.html" target="_blank">"...O2 in Seattle..." and "...Please Hack TeamMentor (beta)..."</a>  - first 'please hack TM' invite sent last year</li>

<li>On Testing TM WebServices</li><ul><li><a href="http://diniscruz.blogspot.co.uk/2012/05/documenting-how-to-test-webservices.html" target="_blank">Documenting how to test WebServices using scripts - the story so far</a>  - see how hard it is to test WebServices in a real-world app</li>
<li><a href="http://diniscruz.blogspot.co.uk/2012/05/creating-spreadsheet-with-webservices.html" target="_blank">Creating a spreadsheet with WebService's Authorization Mappings</a> </li>
<li><a href="http://diniscruz.blogspot.co.uk/2012/05/roadmap-for-testing-webservices.html" target="_blank">Roadmap for Testing an WebService's Authorization Model</a> </li><li><a href="http://diniscruz.blogspot.co.uk/2012/05/what-is-formula-for-webservices.html" target="_blank">What is the formula for the WebServices Authentication mappings?</a> - spreadsheet template with Authorisation mappings </li>
<li><a href="http://diniscruz.blogspot.com/2012/04/testing-teammentor-20-security-using-o2.html">Testing TeamMentor 2.0 security using O2</a> - how I used a mix of Static and Dynamic Analysis to test the security the first TM WebService's refactoring</li>

</ul><li><a href="http://diniscruz.blogspot.co.uk/2012/10/secddev-security-driven-development.html" target="_blank">SecDDev - Security Driven Development</a> - an interesting idea :)</li>
</ul><div>Note that we really embraced Git and GitHub as part of TeamMentor's development and workflow:</div><ul><li><a href="http://diniscruz.blogspot.co.uk/2012/11/pretty-cool-visualisation-of-github.html">Pretty cool visualisation of the 'GitHub based' TeamMentor Development+QA+Release workflow</a> </li>
<li>Master source code: <a href="https://github.com/TeamMentor/master" target="_blank">https://github.com/TeamMentor/master</a></li>
<li>Bugs and issues: <a href="https://github.com/TeamMentor/master/issues" target="_blank">https://github.com/TeamMentor/master/issues</a></li><li>Version with OWASP Top 10 Library (<a href="https://github.com/TeamMentor-OWASP/Master" target="_blank">https://github.com/TeamMentor-OWASP/Master</a>) which you can see in action at <a href="http://owasp.teammentor.net">http://owasp.teammentor.net</a> (note that this is the full engine with the OWASP LIbrary content released under <a href="http://creativecommons.org/licenses/by/3.0/">a CC License</a>)</li>

<li>Bunch of misc code repositories: <a href="https://github.com/TeamMentor" target="_blank">https://github.com/TeamMentor</a></li></ul></div><div>My objective is to create a super secure+powerful application, with maximum visibility+openness, while creating documentation on how it happened (which you can see by the current blog posts)</div>

<div><br></div><div>I think that TeamMentor is a good case study for the challenges of writing secure code, since it is a real-world app, with real-world complexity, real-world legacy stuff and real-world security compromises. This is a great learning opportunity to <b>look at the 'sausage making process' that is software/application developmen</b>t (with a bunch of  .Net, Asmx, jQuery, Javascript, and  xml files which can be easily deployed to the 'cloud'). We always talk how OWASP needs to engage with developers, work with them, help them to secure the app.... well here is a good opportunity to do just that. </div>
<div><br></div><div><b>I want/need help in securing TeamMentor, and Its not an easy task :)</b></div>
<div><br></div><div>One area that I really want to move next, is the implementation of AppSensor-like-capabilities so that malicious activities can be detected and mitigated</div><div><br></div><div>Oh, and I could really do with a good layer of .NET ESAPI controls/capabilities :)</div>
<div> <br>Dinis Cruz<br>A Developer</div><div><br><div class="gmail_quote">
On 7 November 2012 23:05, Jim Manico <span dir="ltr"><<a href="mailto:jim.manico@owasp.org" target="_blank">jim.manico@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

I see this as a service that completely serves the mission of OWASP.<br>
You should be proud of yourself for doing this. Bravo!<br>
<br>
--<br>
Jim Manico<br>
@Manicode<br>
<a href="tel:%28808%29%20652-3805" value="+18086523805" target="_blank">(808) 652-3805</a><br>
<div><div><br>
On Nov 7, 2012, at 11:41 PM, Tim Morgan <<a href="mailto:tim.morgan@owasp.org" target="_blank">tim.morgan@owasp.org</a>> wrote:<br>
<br>
><br>
> Greetings OWASP Leaders,<br>
><br>
> I want to bring to your attention an experimental project that the<br>
> Portland, Oregon OWASP chapter has been working on this year.  The<br>
> project is structured as a hacking competition and workshop and is<br>
> motivated by two observations I've made over the years:<br>
><br>
> * It's hard to find good pentesters<br>
><br>
> * Lots of organizations need application security testing, but simply<br>
>  can't afford it<br>
><br>
><br>
> Free/Libre Open Source Software Hacking (FLOSSHack) events are<br>
> designed to bring together individuals interested in learning more<br>
> about application security with open source projects and organizations<br>
> in need of low cost or pro bono security auditing.  FLOSSHack provides<br>
> a friendly, but mildly competitive, workshop environment in which<br>
> participants learn about and search for vulnerabilities in selected<br>
> software. In turn, selected open source projects and qualified<br>
> non-profit organizations benefit from additional quality assurance and<br>
> security guidance.<br>
><br>
> You can learn more about my thoughts on how best to organize FLOSSHack<br>
> events here:<br>
>  <a href="https://www.owasp.org/index.php/FLOSSHack" target="_blank">https://www.owasp.org/index.php/FLOSSHack</a><br>
><br>
> We held our first FLOSSHack event in July and I think it was quite<br>
> successful(*):<br>
>  <a href="https://www.owasp.org/index.php/FLOSSHack_One" target="_blank">https://www.owasp.org/index.php/FLOSSHack_One</a><br>
><br>
> We learned a lot about what works and what doesn't, so I hope to make<br>
> our next FLOSSHack even more effective.  My ultimate goal is that<br>
> these events become more streamlined and organized to where other<br>
> OWASP chapters can easily throw their own FLOSSHack events.  If any of<br>
> you are interested in holding a similar event or would like to help in<br>
> other ways, please let me know.<br>
><br>
> Thanks!<br>
> tim<br>
><br>
><br>
> * Thanks much to Wil Clouser, Michael Coates, Ushahidi, and all of the<br>
>  participants who made this possible<br>
> _______________________________________________<br>
> OWASP-Leaders mailing list<br>
> <a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
> <a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
</div></div></blockquote></div><br></div></div>