<span style="font-family: Arial; font-size: 13px;">On 5/3/2013 at 7:16 PM, "Dennis Groves" <dennis.groves@owasp.org> wrote:<blockquote style="border-left:solid 1px #ccc;margin-left:10px;padding-left:10px;"><br>But we have never been able to predict if any **specific individual** <br>will purchase the banana.<br><br></blockquote>I'm not sure if these analogies will take us anywhere useful. I think at the maturity level of our industry it's already extremely useful to know that apps having feature Y are more frequently hacked than Z. Which then allows you to make specific decisions about training budget for the next year, or security testing priorities. Or, more precisely, convince those who hold money that that they should be spent and what they should be spent for - for example, that it makes sense to spend $20k for pentesting of an application that is threatened with $10m fine from FSA in case of compromise, rather than a internal desk booking application. Most people can build those arguments intuitively, but I can see it's time to move to another level - and start quantifying things.</span>