<div dir="ltr">Hi Johanna, <br>Just got to read the draft, and most of the points seem valid. especially the part of us seeming abit inadequate to the same effect. It is actually a good proposal which if we put into good use we can make things richer in information, awareness and proper benchmark standards. <br>
<div class="gmail_extra"><br><br><div class="gmail_quote">On Fri, Aug 15, 2014 at 12:42 AM, johanna curiel curiel <span dir="ltr"><<a href="mailto:johanna.curiel@owasp.org" target="_blank">johanna.curiel@owasp.org</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Well, only 3 persons did actually feedback on this proposal. <div>2 agreed 1 disagreed.</div><div><br></div>
<div>Participation is clear low and that worries me since, lets keep in mind, we are trying to develop a methodology to review document projects</div>
<div><br></div><div>People , keep in mind that <b>no staff is reviewing projects at owasp</b>, just a few volunteers like me, and maybe 2 more occasionally.Staff member Kait-Disney has help us maintain the wiki from inactive projects, but reviewing projects such as they at least can build or have an open source repository that works has been done by a couple of volunteers</div>

<div><br></div><div>It seems like the community has no interest to have a proper review mechanism? </div><div><br></div><div>Does it have sense that I keep on pushing project reviews when it seems that only 3 persons want them?</div>

</div><div class="gmail_extra"><br><br><div class="gmail_quote">On Sun, Aug 10, 2014 at 6:37 PM, johanna curiel curiel <span dir="ltr"><<a href="mailto:johanna.curiel@owasp.org" target="_blank">johanna.curiel@owasp.org</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Larry<div>Thank you for the feedback. I think others agree with you regarding the owasp top ten, and that's why we need people providing feedback. </div>

<div><br></div><div>First of all, the proposal is combination of things I researched but also include other members ideas and comments. </div>
<div>Just want to clarify to you that the proposal does not contain only my ideas.<br></div><div><br></div><div>This are my clarifications regarding your comments<div><br><br>On Sunday, August 10, 2014, Larry Conklin <<a href="mailto:larry.conklin@owasp.org" target="_blank">larry.conklin@owasp.org</a>> wrote:<br>


<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Johanna, thanks for putting this together. I think as a draft this is a good start. My suggestion would be to scale back on the scope and implement in a step by step approach.<div>


<br></div><div>What is going to be your approach evaluating feedback?<br>
<div><br></div><div>All doesn't look like people are really are commenting on this. This is an important proposal that needs feedback from the entire community. Below is my feedback on this proposal.</div></div><div>


<br>
</div><div>Larry Conklin, CISSP</div><div>----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------</div>



<div>
















<p class="MsoNormal"><b><i>Qualitative and Quantitative Content Audit Feedback</i></b></p>

<p class="MsoNormal"> </p>

<p class="MsoNormal">I would like to divide my feedback into two sections. The
second section to be a more general feedback of the Content Audit proposal and
the first to be more about what is and is not a flagship project centered on
the OWASP Top Ten Project.</p>

<p class="MsoNormal"> </p>

<p class="MsoNormal">I have read several emails concerning the OWASP Top Ten
project, concerning the project does not release enough of its own and vendor
supplied data, and that it takes away from other good projects. The second
concern I find to be contrary to <a href="http://ninjawords.com/common%2520sense" target="_blank"><span style="color:windowtext;text-decoration:none">common sense</span></a>. I see OWASP
Top Ten mention of different web sites, pdf research papers and books (<a href="http://pluralsight.com/training/Courses/TableOfContents/web-security-owasp-top10-big-picture" target="_blank"><span style="color:windowtext;text-decoration:none">http://pluralsight.com/training/Courses/TableOfContents/web-security-owasp-top10-big-picture</span></a>,
the Tangled Web: A Guide to Securing Modern Web Applications, Systematic
Techniques for Finding and Preventing Script Injection Vulnerabilities), etc just
to mention a few references. All of these references provide the reader a
chance to learn more about OWASP and the different projects inside of OWASP. I
have even seen SANS ppt presentation talked about ZAP as a tool to find injection
issues where the main subject of the ppt was OWASP Top Ten.  My company uses OWASP Top Ten as part of
their annual secure coding standards for all developers. Something so prevalent
and mention so many times has to be good for OWASP if not for any thing else
but to make application security relevant, open and visible. If OWASP Top Ten were
off the mark it simple would not be referenced as many times as it is. So for
that reason no matter what the Content Audit policy is I feel strongly that
OWASP needs to keep OWASP Top Ten as a flagship project. On the issue about
publishing data that the OWASP top ten gathers both vendor supplied and
privately gathered I feel I don’t have enough information to make an
intelligent decision or comment.</p>

<p class="MsoNormal"> </p>

<p class="MsoNormal">On a more general aspect on the proposed content audit
policy I do have some comments. </p>

<p class="MsoNormal"> </p>

<p class="MsoNormal"><b><i>Preliminary</i></b></p>

<p class="MsoNormal"> </p>

<p>1.<span style="font-size:7pt;font-family:'Times New Roman'">    
</span>On “Qualitative content audit methodology by
Martin & Hannington” this is a book that deals with everything like eye
tracking of where a user looks at in a document.  I would like to understand exactly what
should be in this policy without having to reference a book. Maybe we could
reference the exaction sections we want to include instead of the entire book. </p></div></div></blockquote></div><div>Yes, I will give you the exact page </div><div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


<div dir="ltr"><div>

<p>2.<span style="font-size:7pt;font-family:'Times New Roman'">    
</span>Document says it will include automated systems.
What systems? OWASP, third party applications, etc?</p></div></div></blockquote></div><div>Grammar checking and plagiarism </div><div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


<div dir="ltr"><div>

<p>3.<span style="font-size:7pt;font-family:'Times New Roman'">    
</span>Plagiarism checker? Which one and who is paying
for it, OWSP and or project. This can get costly. If the code review takes
content out of a cheat sheet and puts it into Code Review Guide is this
plagiarism? Plagiarism is about ownership of content. I don’t want us to get
into an ownership battle. Consider the turn of events, if someone takes content
out of Code Review Guide, publishes it in a research paper or blog, and then we
update the Code Review Guide and run plagiarism checker how would this
situation be resolved? Remember everything OWASP does should be open license,
hence free to copy. Free to copy causes plagiarism errors.</p></div></div></blockquote></div><div>Owasp, will pay pay for this plagiarism checker. Keep in mind that we as reviewers use these tools however in the end we still need to check the results and confirm this information.  </div>

<div>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div>

<p>4.<span style="font-size:7pt;font-family:'Times New Roman'">    
</span>Open source, there are many open source licenses
(<a href="http://opensource.org/licenses" target="_blank">http://opensource.org/licenses</a>), Apache, GNU, etc. are we saying all projects
have to be the same open source license? This is something I would encourage.
Just makes life easier. </p></div></div></blockquote></div><div>So far project leaders decide what kind of license they want to provide. Maybe something to think about the future </div><div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


<div dir="ltr"><div>

<p>5.<span style="font-size:7pt;font-family:'Times New Roman'">    
</span>Be careful about using the word “Accessibility”
(<a href="http://en.wikipedia.org/wiki/Web_accessibility" target="_blank">http://en.wikipedia.org/wiki/Web_accessibility</a>). Where I work we have to make
sure our public facing web sites meet the US criteria of accessibility I really
don’t want to go there with OWASP. Oh yea please don’t use yellow in your
documents. People like me who are colorblind find it very non accessible.  Funny but true.</p>

<p style="margin-left:1in">a.<span style="font-size:7pt;font-family:'Times New Roman'">    
</span>Mailing lists/feedback? So we want public to use
the wiki for a feedback form or Google doc’s? Download content from wiki and go
to Google doc’s to provide a feedback form. I would prefer one feedback form
that a user can select a project from a drop down list along with a few other
common questions. The same on mailing lists allow on mail list that can be used
for every project instead of a mailing list for each project to provide
feedback.</p></div></div></blockquote></div><div>Right now feedback rer project can be provided through openduck, formerly known as ohlo. I prefer this system since is easier to administrate </div><div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


<div dir="ltr"><div>

<p>6.<span style="font-size:7pt;font-family:'Times New Roman'">    
</span>I think I need a simple check off list that
shows for each task what points that project receives for each task.</p></div></div></blockquote></div><div>Agree </div><div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div dir="ltr">
<div>

<p class="MsoNormal"> </p>

<p class="MsoNormal"><b><i>Second phase.</i></b> </p><p class="MsoNormal">OK this doesn’t need to be in a proposal, just
sounds like something we should do.</p>

<p class="MsoNormal"> </p>

<p class="MsoNormal"><b><i>Third phase. </i></b></p>

<p>1.<span style="font-size:7pt;font-family:'Times New Roman'">    
</span>Relevance, so a project gets released then based
on popularity (downloads) it get flagship status. Isn’t that what some people
are complaining about with OWASP Top Ten?</p></div></div></blockquote></div><div>That is not the only criteria to become flagship. As explained in the proposal, the project needs to meet different requirements </div><div>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="ltr">

<p>2.<span style="font-size:7pt;font-family:'Times New Roman'">    
</span>Formatting/Branding. Sounds good but this isn’t
easy. Shouldn’t this be another project, I suspect you want some like “O'Reilly
Head First” series.  I think they are a
lot of good suggestions in this proposal but it suffers from project creep. I
strongly suggest we start small and grow the content policy. This would need to
be available to all projects before they start to be part of any criteria to
judge that project on</p></div></blockquote><div> </div></div><div>Agree, this is more of budget and money.</div><div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div dir="ltr">
<p> </p>

<p>3.<span style="font-size:7pt;font-family:'Times New Roman'">    
</span>Hiring experts. Isn’t that us? I understand the
intent but this language this can be very offending to the community.</p><p></p></div></blockquote><div> </div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">


<p>IEEE hires experts to review documentation because people won't do it for free. This is my point. The people to review can be from our community but if no one takes the time to review then how are going to do this?</p>


</div></blockquote><div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">

<p> </p>

<p class="MsoNormal"> </p>

<p class="MsoNormal"> </p>

</div><div class="gmail_extra"><br><br><div class="gmail_quote">On Sun, Aug 3, 2014 at 8:56 PM, johanna curiel curiel <span dir="ltr"><<a>johanna.curiel@owasp.org</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_quote">Leaders</div><div class="gmail_quote"><br></div><div class="gmail_quote">The following attachment contains a Proposal Evaluation methodology for Documents OWASP projects.</div>



<div class="gmail_quote">
After brainstorming with some community members, we have set this idea in this draft document.</div><div class="gmail_quote"><br></div><div class="gmail_quote">Please, we strongly encourage all project leaders to go through and read the document.</div>




<div class="gmail_quote"><br></div><div class="gmail_quote">Also, I have added a Feedback form. Your opinion counts. We are trying to develop a methodology and this is a proposal. Your input woudl be valuable to the final version</div>




<div class="gmail_quote"><br></div><div class="gmail_quote"><br></div><div class="gmail_quote">Access to the form:</div><div class="gmail_quote"><div><div style="display:inline;width:576px">
<a href="https://docs.google.com/a/owasp.org/forms/d/1VlIFrGxogpuy_Sb-wsbXI3ToQZJw-5fQgZFy09sJQ00/viewform?c=0&w=1&usp=mail_form_link" target="_blank">https://docs.google.com/a/owasp.org/forms/d/1VlIFrGxogpuy_Sb-wsbXI3ToQZJw-5fQgZFy09sJQ00/viewform?c=0&w=1&usp=mail_form_link<br>




</a></div></div><div><div style="display:inline;width:576px"><div dir="ltr"><div><div><form action="https://docs.google.com/a/owasp.org/forms/d/1VlIFrGxogpuy_Sb-wsbXI3ToQZJw-5fQgZFy09sJQ00/formResponse" method="POST" target="_blank" onsubmit="return window.confirm("You are submitting information to an external page.\nAre you sure?");">




<ol></ol></form></div>
<div><div></div>
<div><div></div>
<div dir="ltr"><div style="margin-top:2em"><span>Powered by</span>
<div><img alt="Google Forms"></div><div><br></div><div>Cheers</div><span><font color="#888888"><div><br></div><div>Johanna Curiel</div><div>Lead Project Task Force</div></font></span></div><span><font color="#888888">
<div style="color:rgb(119,119,119);font-size:11px;margin-top:1.5em"><span>This form was created inside of OWASP Foundation.</span>
<br>
<a href="https://docs.google.com/forms/d/1VlIFrGxogpuy_Sb-wsbXI3ToQZJw-5fQgZFy09sJQ00/reportabuse?source=https://docs.google.com/a/owasp.org/forms/d/1VlIFrGxogpuy_Sb-wsbXI3ToQZJw-5fQgZFy09sJQ00/viewform?sid%3D460accae8c6e84c2%26c%3D0%26w%3D1%26token%3DFTXcnkcBAAA.E2ID09dDFjxrJKxgWuKamw.ALYHmlTuTSQpZJUOKMtgBw" target="_blank">Report Abuse</a>
-
<a href="http://www.google.com/accounts/TOS" target="_blank">Terms of Service</a>
-
<a href="http://www.google.com/google-d-s/terms.html" target="_blank">Additional Terms</a></div></font></span></div></div></div>
</div></div>
<br>
</div></div></div><br></div>
<br>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a>OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div>
</blockquote></div></div>
</blockquote></div><br></div>
<br>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br><br clear="all"><br>-- <br><div dir="ltr"><div><span style="background-color:rgb(255,255,255)"><span style="color:rgb(153,153,153)"><span></span>Munir Njenga,<br>OWASP Chapter Leader (Kenya) || Information Security Consultant || Developer<br>
Mob   (KE) +254 (0) 734960670<br><br>=============================<br></span></span></div><div><span style="background-color:rgb(255,255,255)"><span style="color:rgb(153,153,153)">Chapter Page: <a href="https://www.owasp.org/index.php/Kenya" target="_blank">www.owasp.org/index.php/Kenya</a><br>
</span></span></div><div><span style="background-color:rgb(255,255,255)"><span style="color:rgb(153,153,153)">Email: <a href="mailto:munir.njiru@owasp.org" target="_blank">munir.njiru@owasp.org</a></span></span></div><div>
<span style="background-color:rgb(255,255,255)"><span style="color:rgb(153,153,153)">Facebook: <a href="https://www.facebook.com/OWASP.Kenya" target="_blank">https://www.facebook.com/OWASP.Kenya</a><br></span></span></div>
<div><span style="background-color:rgb(255,255,255)"><span style="color:rgb(153,153,153)">Mailing List: <a href="https://lists.owasp.org/mailman/listinfo/owasp-Kenya" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-Kenya</a><br>
</span></span></div><div><span style="background-color:rgb(255,255,255)"><span style="color:rgb(153,153,153)"><br></span></span></div><span style="background-color:rgb(255,255,255)"><span style="color:rgb(153,153,153)"></span></span><div>
<span style="background-color:rgb(255,255,255)"><span style="color:rgb(153,153,153)"><br><br></span></span></div></div>
</div></div>