<div dir="ltr"><div><div><div><div><div><div><div><div><div><div>Leaders,<br><br>This thread got me thinking: <a href="http://lists.owasp.org/pipermail/owasp-community/2014-October/000400.html">http://lists.owasp.org/pipermail/owasp-community/2014-October/000400.html</a><br><br></div><div>Just pointing people at the Testing Guide isnt really that helpful (as I did, sorry!).<br></div>We have a <a href="https://www.owasp.org/index.php/Getting_Started">Getting Started</a> page, but its not exactly a simple starting point.<br></div>Jim started a related twitter thread that I thought was very interesting: <a href="https://twitter.com/manicode/status/523999242189570048">https://twitter.com/manicode/status/523999242189570048</a><br><br></div>So ... can we come up with a simple '5 point plan' (or whatever) for people who are just starting out in appsec?<br></div>So I'm thinking about people on the development side of the business - could be developers, team leaders or lower -> middle management.<br>They develop software, and they know they dont know enough about security.<br></div>What should their first steps be?<br><br></div>Maybe we can (should?) get this down to infographic levels - think that simple (at a high level, the devil will always be in the detail).<br><br></div>I'd be very happy to be involved in something like this, but I dont think I should lead it:<br></div>1. I dont have the time<br></div>2. It could end up being "Use ZAP for almost everything";)<br><br></div><div>Or have we already got an ideal initial introduction that I'm not aware of?<br></div><div><br></div>Simon<br clear="all"><div><div><div><div><div><div><div><div><div><div><div><div><br>-- <br><a href="https://www.owasp.org/index.php/ZAP" target="_blank">OWASP ZAP</a> Project leader<br>
</div></div></div></div></div></div></div></div></div></div></div></div></div>