<div dir="ltr"><div><div><div>Hi folks,<br><br>I've got some concerns about the OWASP Benchmark project.<br><br>I _like_ benchmarks, and I'm very pleased to see an active OWASP project focused on delivering one.<br>I think the project has some technical limitations, but thats fine given the stage the project is at, ie _very_ early.<br>I dont think that any firm conclusions should be drawn from it until its been significantly enhanced.<br><br>My concerns are around the marketing that one of the companies sponsoring the Benchmark project has started using.<br><br>Here we have a company that leads an OWASP project that just happens to show that their offering in this area appears to be _significantly_ better than any of the competition.<br>Their recent press release stresses that its an OWASP project, make the most of the fact that the US DHS helped fund it but make no mention of their role in developing it.<br><br>Regardless of the accuracy of the results, it seems like a huge conflict of interest :(<br><br>It appears that I'm not the only one with concerns related to the project:<br><br><a href="https://www.veracode.com/blog/2015/09/no-one-technology-silver-bullet">https://www.veracode.com/blog/2015/09/no-one-technology-silver-bullet</a><br><br></div>What do other people think?<br><br></div>Cheers,<br><br></div>Simon<br clear="all"><div><div><div><div><br>-- <br><div class="gmail_signature"><a href="https://www.owasp.org/index.php/ZAP" target="_blank">OWASP ZAP</a> Project leader<br></div>
</div></div></div></div></div>