<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=iso-8859-1"><meta name=Generator content="Microsoft Word 12 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:Helvetica;
        panose-1:2 11 6 4 2 2 2 2 2 4;}
@font-face
        {font-family:Wingdings;
        panose-1:5 0 0 0 0 0 0 0 0 0;}
@font-face
        {font-family:Wingdings;
        panose-1:5 0 0 0 0 0 0 0 0 0;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
        {mso-style-priority:99;
        mso-style-link:"Balloon Text Char";
        margin:0cm;
        margin-bottom:.0001pt;
        font-size:8.0pt;
        font-family:"Tahoma","sans-serif";}
span.BalloonTextChar
        {mso-style-name:"Balloon Text Char";
        mso-style-priority:99;
        mso-style-link:"Balloon Text";
        font-family:"Tahoma","sans-serif";}
span.EmailStyle19
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:72.0pt 72.0pt 72.0pt 72.0pt;}
div.WordSection1
        {page:WordSection1;}
/* List Definitions */
@list l0
        {mso-list-id:155610390;
        mso-list-template-ids:1305761020;}
@list l0:level1
        {mso-level-number-format:bullet;
        mso-level-text:\F0A7;
        mso-level-tab-stop:36.0pt;
        mso-level-number-position:left;
        text-indent:-18.0pt;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l0:level2
        {mso-level-number-format:bullet;
        mso-level-text:\F0A7;
        mso-level-tab-stop:72.0pt;
        mso-level-number-position:left;
        text-indent:-18.0pt;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l1
        {mso-list-id:1326131458;
        mso-list-template-ids:-184658758;}
@list l1:level1
        {mso-level-number-format:bullet;
        mso-level-text:\F0B7;
        mso-level-tab-stop:36.0pt;
        mso-level-number-position:left;
        text-indent:-18.0pt;
        mso-ansi-font-size:10.0pt;
        font-family:Symbol;}
ol
        {margin-bottom:0cm;}
ul
        {margin-bottom:0cm;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-US link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Hello <o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>I am a long(ish) time lurker coming out of the shadows here, but I agree with Ryan. The OWASP Top 10 should factor in both the vulnerabilities identified in applications through testing (this is being done it seems, from the 8 data sources listed), but also real world statistics on which vulnerabilities are actually being exploited in the wild (as it were). In addition to the example sources listed, there are the annual Symantec Internet Threat Reports, Datalossdb, and the IBM XForce threat reports. I’m sure others can sources can be identified. One could possibly use the number of records accessed (if known), to give additional weight to a specific attack type (rather than simply treating all incidents equally). <o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><div><p class=MsoNormal style='margin-bottom:12.0pt'><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Just my 2c Cdn…<o:p></o:p></span></p><p class=MsoNormal style='margin-bottom:12.0pt'><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Thank You <o:p></o:p></span></p><p class=MsoNormal style='margin-bottom:12.0pt'><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Rui Pereira<o:p></o:p></span></p><p class=MsoNormal style='margin-bottom:12.0pt'><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>WaveFront Consulting<o:p></o:p></span></p></div><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm'><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From:</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> owasp-leaders-bounces@lists.owasp.org [mailto:owasp-leaders-bounces@lists.owasp.org] <b>On Behalf Of </b>Ryan Barnett<br><b>Sent:</b> February 26, 2013 10:29 AM<br><b>To:</b> Michael Coates; owasp-topten-project<br><b>Cc:</b> OWASP Leaders<br><b>Subject:</b> Re: [Owasp-leaders] OWASP Top 10 - Proposal for a Temporary Injunction<o:p></o:p></span></p></div></div><p class=MsoNormal><o:p> </o:p></p><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:black'>The page here (<a href="https://www.owasp.org/index.php/Top_10_2013-Introduction">https://www.owasp.org/index.php/Top_10_2013-Introduction</a>) lists the following -<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:black'><o:p> </o:p></span></p></div><blockquote style='margin-left:30.0pt;margin-right:0cm'><div><p class=MsoNormal><i><span style='font-size:9.5pt;font-family:"Arial","sans-serif";color:black;background:#F8FFF8'>"The OWASP Top 10 is based on risk data from 8 firms that specialize in application security, including 4 consulting companies and 4 tool vendors (2 static and 2 dynamic). This data spans over 500,000 vulnerabilities across hundreds of organizations and thousands of applications. The Top 10 items are selected and prioritized according to this prevalence data, in combination with consensus estimates of exploitability, detectability, and impact estimates."</span></i><span style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:black'><o:p></o:p></span></p></div></blockquote><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:black'>And the Acknowlegments section on that same page lists the 8 data sources:<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal style='mso-margin-top-alt:auto;margin-bottom:1.2pt;margin-left:36.0pt;text-indent:-18.0pt;line-height:14.4pt;mso-list:l0 level2 lfo1'><![if !supportLists]><span style='font-size:10.0pt;font-family:Wingdings;color:black'><span style='mso-list:Ignore'><span style='font:7.0pt "Times New Roman"'>  </span></span></span><![endif]><span style='font-size:9.5pt;font-family:"Arial","sans-serif";color:black'>Aspect Security<o:p></o:p></span></p><p class=MsoNormal style='mso-margin-top-alt:auto;margin-bottom:1.2pt;margin-left:36.0pt;text-indent:-18.0pt;line-height:14.4pt;mso-list:l0 level2 lfo1'><![if !supportLists]><span style='font-size:10.0pt;font-family:Wingdings;color:black'><span style='mso-list:Ignore'><span style='font:7.0pt "Times New Roman"'>  </span></span></span><![endif]><span style='font-size:9.5pt;font-family:"Arial","sans-serif";color:black'>HP (Results for both Fortify and WebInspect)<o:p></o:p></span></p><p class=MsoNormal style='mso-margin-top-alt:auto;margin-bottom:1.2pt;margin-left:36.0pt;text-indent:-18.0pt;line-height:14.4pt;mso-list:l0 level2 lfo1'><![if !supportLists]><span style='font-size:10.0pt;font-family:Wingdings;color:black'><span style='mso-list:Ignore'><span style='font:7.0pt "Times New Roman"'>  </span></span></span><![endif]><span style='font-size:9.5pt;font-family:"Arial","sans-serif";color:black'>Minded Security<o:p></o:p></span></p><p class=MsoNormal style='mso-margin-top-alt:auto;margin-bottom:1.2pt;margin-left:36.0pt;text-indent:-18.0pt;line-height:14.4pt;mso-list:l0 level2 lfo1'><![if !supportLists]><span style='font-size:10.0pt;font-family:Wingdings;color:black'><span style='mso-list:Ignore'><span style='font:7.0pt "Times New Roman"'>  </span></span></span><![endif]><span style='font-size:9.5pt;font-family:"Arial","sans-serif";color:black'>Softtek<o:p></o:p></span></p><p class=MsoNormal style='mso-margin-top-alt:auto;margin-bottom:1.2pt;margin-left:36.0pt;text-indent:-18.0pt;line-height:14.4pt;mso-list:l0 level2 lfo1'><![if !supportLists]><span style='font-size:10.0pt;font-family:Wingdings;color:black'><span style='mso-list:Ignore'><span style='font:7.0pt "Times New Roman"'>  </span></span></span><![endif]><span style='font-size:9.5pt;font-family:"Arial","sans-serif";color:black'>TrustWave<o:p></o:p></span></p><p class=MsoNormal style='mso-margin-top-alt:auto;margin-bottom:1.2pt;margin-left:36.0pt;text-indent:-18.0pt;line-height:14.4pt;mso-list:l0 level2 lfo1'><![if !supportLists]><span style='font-size:10.0pt;font-family:Wingdings;color:black'><span style='mso-list:Ignore'><span style='font:7.0pt "Times New Roman"'>  </span></span></span><![endif]><span style='font-size:9.5pt;font-family:"Arial","sans-serif";color:black'>Veracode – Statistics<o:p></o:p></span></p><p class=MsoNormal style='mso-margin-top-alt:auto;margin-bottom:1.2pt;margin-left:36.0pt;text-indent:-18.0pt;line-height:14.4pt;mso-list:l0 level2 lfo1'><![if !supportLists]><span style='font-size:10.0pt;font-family:Wingdings;color:black'><span style='mso-list:Ignore'><span style='font:7.0pt "Times New Roman"'>  </span></span></span><![endif]><span style='font-size:9.5pt;font-family:"Arial","sans-serif";color:black'>WhiteHat Security Inc. – Statistics<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:black'>My concerns are not with the data sources provided, but that they are mainly factoring in only vulnerability prevalence.  We need to factor in more data sources related to attack frequency/liklihood.  Some example resources:<o:p></o:p></span></p></div><ul type=disc><li class=MsoNormal style='color:black;mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;mso-list:l1 level1 lfo2'><span style='font-size:10.5pt;font-family:"Calibri","sans-serif"'>WASC Web Hacking Incident Database<o:p></o:p></span></li><li class=MsoNormal style='color:black;mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;mso-list:l1 level1 lfo2'><span style='font-size:10.5pt;font-family:"Calibri","sans-serif"'>Akamai State of the Internet Reports<o:p></o:p></span></li><li class=MsoNormal style='color:black;mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;mso-list:l1 level1 lfo2'><span style='font-size:10.5pt;font-family:"Calibri","sans-serif"'>Firehosts Web Application Attack Reports<o:p></o:p></span></li><li class=MsoNormal style='color:black;mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;mso-list:l1 level1 lfo2'><span style='font-size:10.5pt;font-family:"Calibri","sans-serif"'>Imperva's Web Application Attack Reports<o:p></o:p></span></li></ul><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:black'>This is just a few examples of real attack data that we should consider with regards to both which items are included and for priority listings.<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:black'>-Ryan<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:black'><o:p> </o:p></span></p></div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm'><p class=MsoNormal><b><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:black'>From: </span></b><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:black'>Michael Coates <<a href="mailto:michael.coates@owasp.org">michael.coates@owasp.org</a>><br><b>Date: </b>Tuesday, February 26, 2013 1:05 PM<br><b>To: </b>owasp-topten-project <<a href="mailto:owasp-topten-project@owasp.org">owasp-topten-project@owasp.org</a>><br><b>Cc: </b>OWASP Leaders <<a href="mailto:owasp-leaders@lists.owasp.org">owasp-leaders@lists.owasp.org</a>><br><b>Subject: </b>Re: [Owasp-leaders] OWASP Top 10 - Proposal for a Temporary Injunction<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:black'><o:p> </o:p></span></p></div><blockquote style='border:none;border-left:solid #B5C4DF 4.5pt;padding:0cm 0cm 0cm 4.0pt;margin-left:3.75pt;margin-right:0cm' id="MAC_OUTLOOK_ATTRIBUTION_BLOCKQUOTE"><div><div><p class=MsoNormal style='margin-bottom:12.0pt'><span style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:black'>Given the importance of the OWASP top 10, its use throughout the world, and the fact it is one of our initial points (for many organizations) of spreading the OWASP mission I think these are valid questions.<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:black'>Can someone from the top 10 project provide insight on these questions? Do we have this type of information already published? If not, we should capture and publish. Other organizations will likely want to better understand both our methodology and comprehensive understanding of the landscape that led to our recommendations.<br><br><br>Thanks,<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:black'><br clear=all><o:p></o:p></span></p><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:black'><br>--<br>Michael Coates | OWASP | @_mwc<br><a href="http://michael-coates.blogspot.com" target="_blank">michael-coates.blogspot.com</a><o:p></o:p></span></p></div><p class=MsoNormal style='margin-bottom:12.0pt'><span style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:black'><o:p> </o:p></span></p><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:black'>On Tue, Feb 26, 2013 at 1:47 AM, Jerry Hoff <<a href="mailto:jerry@owasp.org" target="_blank">jerry@owasp.org</a>> wrote:<o:p></o:p></span></p><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:black'>Hello leaders!<o:p></o:p></span></p><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:black'>As we all know, the OWASP Top 10 - 2013 release candidate list was made available on Feb 15, 2013.  Since then, there has been a lot of controversy on a number of points.  The most pressing - in my opinion - is the methodology used to come up with the top 10.<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:black'>The OWASP top 10 is BY FAR the most visible and recognizable project in OWASP.  It is used as a de facto standard by which countless organizations around the globe measure their application security.  The issues that are covered by the Top 10 will receive the vast majority of attention from security teams around the world - if there are redundant or needless entries, huge amounts of money will be wasted, and if important risks are not listed on the top 10, they will be largely ignored.<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:black'>That said - I would like to raise the following issues:<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:black'>- What is the methodology used to decide on the "Top 10 risks"?<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:black'>- Who exactly is involved in the selection and ordering of these risks?<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:black'>- What assurance do organizations have that this list is a true reflection of webapp-related risk<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:black'>- Since this is OWASP's most visible flagship project, what assurance do WE in the OWASP community have that this list is an accurate accounting of the top 10 risks intrinsic in web apps? <o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:black'>Folks - OWASP has grown extremely rapidly in a short amount of time, and as the entire industry matures doing things "like we've always done them" is not sufficient in my opinion.<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:black'>This most popular project - that essentially speaks and represents all of OWASP - should not be selected arbitrarily and released publicly without answers to the questions above.  <o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:black'>Therefore, I respectfully ask Jeff and Dave not to release the OWASP Top 10 - 2013 edition until a reasonable accompanying methodology and metrics are released outlining how these risks were decided upon.<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:black'>Is this fair?  I absolutely respect the work Jeff and Dave have put into this project over the years - the top 10 is a large part of what made OWASP the organization it is today.  I also respect their rights as the project owners to do as they see fit.  However, since this project is so critical not only to OWASP, but to the world, I respectfully ask that:<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:black'>- a methodology be published <o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:black'>- to have an open conversation (perhaps convening a Top 10 Summit) to ensure the top 10 risks are in line with a reasonable methodology<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:black'>Thank you,<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:black'>Jerry<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:black'><o:p> </o:p></span></p></div><div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:black'><o:p> </o:p></span></p><div><div><p class=MsoNormal><span style='font-size:13.5pt;font-family:"Helvetica","sans-serif";color:black'>--<br>Jerry Hoff<o:p></o:p></span></p></div><div><p class=MsoNormal style='margin-bottom:13.5pt'><span style='font-size:13.5pt;font-family:"Helvetica","sans-serif";color:black'>@jerryhoff<br><a href="mailto:jerry@owasp.org" target="_blank">jerry@owasp.org</a><br><br><o:p></o:p></span></p></div></div></div></div></div><p class=MsoNormal style='margin-bottom:12.0pt'><span style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:black'><br>_______________________________________________<br>OWASP-Leaders mailing list<br><a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br><a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><o:p></o:p></span></p></div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:black'><o:p> </o:p></span></p></div></div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:black'>_______________________________________________ OWASP-Leaders mailing list <a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a> <a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a> <o:p></o:p></span></p></blockquote></div></body></html>