<div dir="ltr"><div><div><div>Luis,<br><br>Great initiative! I have some feedback on your poll that may help make it more effective. There is a bit of ambiguity on some of the questions and clarifying the question may give you some better results.<br>
<br><br>1) Which OWASP security guides and Projects do you use regularly?
<br></div>Is this intended to be an exhaustive list? There are other projects that people may use that aren't listed. Maybe a subnote that says "This does not represent all OWASP projects but these projects were specifically selected for this poll"<br>
<br>2) Do you think it is important to publish your software components and 
third party code components?(shared libraries, APIs, and so on).<br></div>Are you asking if companies should publicly publish the software components and third party components for their software? Would this apply if the software they are building is closed source?<br>
</div>Are we asking from the perspective of someone in security at the company or from a user of the software concerned about security? Clarifying the question would be helpful.<br><div><br>3) How often do you fix vulnerabilities in your web applications? 
<div><div>Most companies will address vulnerabilities using a risk based approach. The deployment time to push the changes live will depend on other factors. This question may be tough for people to answer in it's current wording.<br>
<br><br></div><div><br></div></div></div></div><div class="gmail_extra"><br clear="all"><div><div dir="ltr"><br>--<br>Michael Coates<br>@_mwc<br><br></div></div>
<br><br><div class="gmail_quote">On Mon, Jan 20, 2014 at 9:11 AM,  <span dir="ltr"><<a href="mailto:luis.enriquez@owasp.org" target="_blank">luis.enriquez@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div><div style="width:576px"><p>Dear OWASP members. I kindly request you to fill this 5 questions poll. Your feedback is very important for the success of this project. Thank you!<br>Luis Enriquez<br><a href="https://www.google.com/url?q=https%3A%2F%2Fwww.owasp.org%2Findex.php%2FOWASP_Security_Labeling_System_Project&sa=D&sntz=1&usg=AFQjCNGP1Sgp4TknRoFVvs81v8dyXI-Yqw" target="_blank">https://www.owasp.org/index.php/OWASP_Security_Labeling_System_Project</a></p>

If you have trouble viewing or submitting this form, you can fill it out online:
<br>
<a href="https://docs.google.com/forms/d/1GNnve1SIxf8q5XGWZXJSmeSUzmKIEH5sQPQR3a-TTE8/viewform" target="_blank">https://docs.google.com/forms/d/1GNnve1SIxf8q5XGWZXJSmeSUzmKIEH5sQPQR3a-TTE8/viewform</a>
<p></p>
<div dir="ltr"><div><h1 dir="ltr">OWASP Security Labeling System Project</h1></div>
<div style="white-space:pre-wrap;display:inline"><div style="font:inherit;width:99%;margin:0 0 1em;white-space:pre-wrap;word-wrap:break-word">Dear OWASP members. I kindly request you to fill this 5 questions poll. Your feedback is very important for the success of this project. Thank you!</div>

</div>
<div><div><form action="https://docs.google.com/a/owasp.org/forms/d/1GNnve1SIxf8q5XGWZXJSmeSUzmKIEH5sQPQR3a-TTE8/formResponse" method="POST" target="_blank" onsubmit="return window.confirm("You are submitting information to an external page.\nAre you sure?");">
<ol style="padding-left:0">
<div>
<div dir="ltr" style="margin:12px 0"><div style="max-width:100%"><label><div style="display:block;font-weight:bold">(1) Which OWASP security guides and Projects do you use regularly?
</div>
<div dir="ltr" style="display:block;margin:.1em 0 .25em 0;color:#666"></div></label>

<ul style="list-style:none;margin:.5em 0 0 0;padding:0"><li style="margin:0;line-height:1.3em;padding-bottom:.5em"><label><span style="display:inline-block"><input name="entry.989223006" value="OWASP Top Ten project" type="checkbox"></span>
<span>OWASP Top Ten project</span>
</label></li> <li style="margin:0;line-height:1.3em;padding-bottom:.5em"><label><span style="display:inline-block"><input name="entry.989223006" value="OWASP security coding principles" type="checkbox"></span>
<span>OWASP security coding principles</span>
</label></li> <li style="margin:0;line-height:1.3em;padding-bottom:.5em"><label><span style="display:inline-block"><input name="entry.989223006" value="OWASP ESAPIs" type="checkbox"></span>
<span>OWASP ESAPIs</span>
</label></li> <li style="margin:0;line-height:1.3em;padding-bottom:.5em"><label><span style="display:inline-block"><input name="entry.989223006" value="OWASP Application Security Verification Standard" type="checkbox"></span>
<span>OWASP Application Security Verification Standard</span>
</label></li> <li style="margin:0;line-height:1.3em;padding-bottom:.5em"><label><span style="display:inline-block"><input name="entry.989223006" value="OpenSAMM Software Assurance Model" type="checkbox"></span>
<span>OpenSAMM Software Assurance Model</span>
</label></li></ul>


</div></div></div> <div>
<div dir="ltr" style="margin:12px 0"><div style="max-width:100%"><label><div style="display:block;font-weight:bold">(2) Do you think it is important to publish your software components and third party code components?(shared libraries, APIs, and so on).
</div>
<div dir="ltr" style="display:block;margin:.1em 0 .25em 0;color:#666"></div></label>

<ul style="list-style:none;margin:.5em 0 0 0;padding:0"><li style="margin:0;line-height:1.3em;padding-bottom:.5em"><label><span style="display:inline-block"><input name="entry.144659771" value="YES" type="radio"></span>
<span>YES</span>
</label></li> <li style="margin:0;line-height:1.3em;padding-bottom:.5em"><label><span style="display:inline-block"><input name="entry.144659771" value="NO" type="radio"></span>
<span>NO</span>
</label></li> <li style="margin:0;line-height:1.3em;padding-bottom:.5em"><label><span style="display:inline-block"><input name="entry.144659771" value="__other_option__" type="radio"></span>
Other:</label>
<span style="display:inline-block"><input name="entry.144659771.other_option_response" value="" dir="auto" type="text"></span>
</li></ul>


</div></div></div> <div>
<div dir="ltr" style="margin:12px 0"><div style="max-width:100%"><label><div style="display:block;font-weight:bold">(3) How often do you fix vulnerabilities in your web applications? 
</div>
<div dir="ltr" style="display:block;margin:.1em 0 .25em 0;color:#666"></div></label>

<ul style="list-style:none;margin:.5em 0 0 0;padding:0"><li style="margin:0;line-height:1.3em;padding-bottom:.5em"><label><span style="display:inline-block"><input name="entry.2050767292" value="hourly" type="radio"></span>
<span>hourly</span>
</label></li> <li style="margin:0;line-height:1.3em;padding-bottom:.5em"><label><span style="display:inline-block"><input name="entry.2050767292" value="daily" type="radio"></span>
<span>daily</span>
</label></li> <li style="margin:0;line-height:1.3em;padding-bottom:.5em"><label><span style="display:inline-block"><input name="entry.2050767292" value="weekly" type="radio"></span>
<span>weekly</span>
</label></li> <li style="margin:0;line-height:1.3em;padding-bottom:.5em"><label><span style="display:inline-block"><input name="entry.2050767292" value="__other_option__" type="radio"></span>
Other:</label>
<span style="display:inline-block"><input name="entry.2050767292.other_option_response" value="" dir="auto" type="text"></span>
</li></ul>


</div></div></div> <div>
<div dir="ltr" style="margin:12px 0"><div style="max-width:100%"><label><div style="display:block;font-weight:bold">(4) Would you publish the results of your vulnerability scans to the public?
</div>
<div dir="ltr" style="display:block;margin:.1em 0 .25em 0;color:#666"></div></label>

<ul style="list-style:none;margin:.5em 0 0 0;padding:0"><li style="margin:0;line-height:1.3em;padding-bottom:.5em"><label><span style="display:inline-block"><input name="entry.949028101" value="YES" type="radio"></span>
<span>YES</span>
</label></li> <li style="margin:0;line-height:1.3em;padding-bottom:.5em"><label><span style="display:inline-block"><input name="entry.949028101" value="NO" type="radio"></span>
<span>NO</span>
</label></li> <li style="margin:0;line-height:1.3em;padding-bottom:.5em"><label><span style="display:inline-block"><input name="entry.949028101" value="__other_option__" type="radio"></span>
Other:</label>
<span style="display:inline-block"><input name="entry.949028101.other_option_response" value="" dir="auto" type="text"></span>
</li></ul>


</div></div></div> <div>
<div dir="ltr" style="margin:12px 0"><div style="max-width:100%"><label><div style="display:block;font-weight:bold">(5) Which legal issues would you incorporate in your contracts or copyright licenses?
</div>
<div dir="ltr" style="display:block;margin:.1em 0 .25em 0;color:#666"></div></label>

<ul style="list-style:none;margin:.5em 0 0 0;padding:0"><li style="margin:0;line-height:1.3em;padding-bottom:.5em"><label><span style="display:inline-block"><input name="entry.535124301" value="A RISKS OF VULNERABILITIES CLAUSE; determining in which circumstances you would be responsible for the damages caused by software vulnerabilities." type="checkbox"></span>
<span>A RISKS OF VULNERABILITIES CLAUSE; determining in which circumstances you would be responsible for the damages caused by software vulnerabilities.</span>
</label></li> <li style="margin:0;line-height:1.3em;padding-bottom:.5em"><label><span style="display:inline-block"><input name="entry.535124301" value="A PRIVACY CLAUSE; certifying that your software does not come by default with any kind of hidden spyware, or backdoors." type="checkbox"></span>
<span>A PRIVACY CLAUSE; certifying that your software does not come by default with any kind of hidden spyware, or backdoors.</span>
</label></li> <li style="margin:0;line-height:1.3em;padding-bottom:.5em"><label><span style="display:inline-block"><input name="entry.535124301" value="A DATA PROTECTION CLAUSE;  which clearly informs users about how personal data will be processed(if any)." type="checkbox"></span>
<span>A DATA PROTECTION CLAUSE;  which clearly informs users about how personal data will be processed(if any).</span>
</label></li> <li style="margin:0;line-height:1.3em;padding-bottom:.5em"><label><span style="display:inline-block"><input name="entry.535124301" value="__other_option__" type="checkbox"></span>
Other:</label>
<span style="display:inline-block"><input name="entry.535124301.other_option_response" value="" dir="auto" type="text"></span>
</li></ul>


</div></div></div>
<input name="draftResponse" value="[,,"8308428329133485852"]
" type="hidden">
<input name="pageHistory" value="0" type="hidden">

<input name="fbzx" value="8308428329133485852" type="hidden">

<div style="margin:12px 0"><table><tbody><tr><td dir="ltr" style="max-width:100%;display:inline-block">
<input name="submit" value="Submit" type="submit">
<div style="color:#666">Never submit passwords through Google Forms.</div></td>
</tr></tbody></table></div></ol></form></div>
<div><div></div>
<div><div></div>
<div dir="ltr"><div style="margin-top:2em"><span>Powered by</span>
<a href="http://drive.google.com" style="display:inline-block;text-decoration:none;vertical-align:middle" target="_blank"><img src="https://ssl.gstatic.com/docs/forms/drive_logo_small.png" alt="Google Drive" style="border:none;min-height:23px;width:105px"></a></div>

<div style="color:#777;font-size:11px;margin-top:1.5em"><span>This form was created inside of OWASP Foundation.</span>
<br>
<a href="https://docs.google.com/forms/d/1GNnve1SIxf8q5XGWZXJSmeSUzmKIEH5sQPQR3a-TTE8/reportabuse?source=https://docs.google.com/forms/d/1GNnve1SIxf8q5XGWZXJSmeSUzmKIEH5sQPQR3a-TTE8/viewform?sid%3D362c5766bdef3a58%26token%3D-eyjsEMBAAA.yFU3uFcG6ZB8DpjMXJWx9g.dCjdVm7cCBOsoH4t6NOgDA" target="_blank">Report Abuse</a>
-
<a href="http://www.google.com/accounts/TOS" target="_blank">Terms of Service</a>
-
<a href="http://www.google.com/google-d-s/terms.html" target="_blank">Additional Terms</a></div></div></div></div>
</div></div>
<br>
</div></div><br>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div>