<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div><a href="http://Webgoat.net">Webgoat.net</a> is open sourced. :) Not sure what language specifically, but it was written by <a href="mailto:jerry.hoff@owasp.org">jerry.hoff@owasp.org</a>. There are several other webgoats...<br><br><div>--</div><div>Jim Manico</div><div>@Manicode</div><div>(808) 652-3805</div></div><div><br>On Mar 25, 2015, at 10:08 AM, Mike Goodwin <<a href="mailto:mike.goodwin@owasp.org">mike.goodwin@owasp.org</a>> wrote:<br><br></div><blockquote type="cite"><div><div dir="ltr"><div>Hmm. Open source...</div><div><br></div><div>I was going to use <a href="http://ASP.Net">ASP.Net</a> since that is what I'm best at. Would that be allowed? It is open source now. <a href="http://WebGoat.Net">WebGoat.Net</a> is .Net (obviously) so I assumed that was a precedent. The other 3rd party components I was thinking of so far are all open source.</div><div><br></div><div>As for distributing on a VM or with an installer, I'd have to think about what that would mean. With my DevOps hat on, I already designed a multi-server, HA architecture :o)</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Mar 25, 2015 at 3:48 PM, Dave Wichers <span dir="ltr"><<a href="mailto:dave.wichers@owasp.org" target="_blank">dave.wichers@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" vlink="purple" link="blue"><div><p class="MsoNormal"><span style="color:rgb(31,73,125);font-family:"Calibri","sans-serif";font-size:11pt">Can you make it deliverable on a VM or installable like WebGoat? I.e., there could be many copies of the web app not just one? If you do that, no problem at all.<u></u><u></u></span></p><p class="MsoNormal"><span style="color:rgb(31,73,125);font-family:"Calibri","sans-serif";font-size:11pt"><u></u> <u></u></span></p><p class="MsoNormal"><span style="color:rgb(31,73,125);font-family:"Calibri","sans-serif";font-size:11pt">And everything developed to build it is open source of course.<u></u><u></u></span></p><p class="MsoNormal"><span style="color:rgb(31,73,125);font-family:"Calibri","sans-serif";font-size:11pt"><u></u> <u></u></span></p><p class="MsoNormal"><span style="color:rgb(31,73,125);font-family:"Calibri","sans-serif";font-size:11pt">-Dave<u></u><u></u></span></p><p class="MsoNormal"><span style="color:rgb(31,73,125);font-family:"Calibri","sans-serif";font-size:11pt"><u></u> <u></u></span></p><p class="MsoNormal"><b><span style="font-family:"Tahoma","sans-serif";font-size:10pt">From:</span></b><span style="font-family:"Tahoma","sans-serif";font-size:10pt"> <a href="mailto:owasp-leaders-bounces@lists.owasp.org" target="_blank">owasp-leaders-bounces@lists.owasp.org</a> [mailto:<a href="mailto:owasp-leaders-bounces@lists.owasp.org" target="_blank">owasp-leaders-bounces@lists.owasp.org</a>] <b>On Behalf Of </b>Mike Goodwin<br><b>Sent:</b> Wednesday, March 25, 2015 11:22 AM<br><b>To:</b> <a href="mailto:owasp-leaders@lists.owasp.org" target="_blank">owasp-leaders@lists.owasp.org</a><br><b>Subject:</b> [Owasp-leaders] Fwd: Is it feasible to have an OWASP project that is a web application?<u></u><u></u></span></p><div><div class="h5"><p class="MsoNormal"><u></u> <u></u></p><div><div><div><div><p class="MsoNormal">Hello all,<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">All the OWASP projects I have looked at are either<u></u><u></u></p></div><ul type="disc"><li class="MsoNormal">Media projects (e.g. ASVS), or<u></u><u></u></li><li class="MsoNormal">Locally installed tools (e.g. ZAP)<u></u><u></u></li></ul><div><p class="MsoNormal">Is it feasible do you think to have a project that is a web application? I am thinking about a collaborative threat modelling tool. It feels like it should be a web application rather than an installed application.<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">It seems like the cost of operating a secure multi-user web app with all the hosting, backup, availability and security responsibilities that come along with that would make it infeasible for an organisation like OWASP.<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">On the other hand, it seems odd that an organisation that is about web applications does not run any (other than the OWASP web site, obviously).<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Thoughts welcome...<u></u><u></u></p></div><div><p class="MsoNormal"><span style="color:rgb(136,136,136)"><u></u> <u></u></span></p></div><div><p class="MsoNormal"><span style="color:rgb(136,136,136)">Mike<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="color:rgb(136,136,136)"><u></u> <u></u></span></p></div><div><p class="MsoNormal"><span style="color:rgb(136,136,136)"><u></u> <u></u></span></p></div></div></div><p class="MsoNormal"><u></u> <u></u></p></div></div></div></div></div></blockquote></div><br></div>
</div></blockquote><blockquote type="cite"><div><span>_______________________________________________</span><br><span>OWASP-Leaders mailing list</span><br><span><a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a></span><br><span><a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a></span><br></div></blockquote></body></html>