<div dir="ltr"><span style="font-size:13px">I think that OWASP should not be publishing results.</span><br><div><span style="font-size:13px"><br></span></div><div><span style="font-size:13px">Agree, the person publishing the results is Johanna et al.</span></div><div><span style="font-size:13px">Also with a disclaimer: </span>Johanna's opinions do not represent in any way OWASP endorsing or not the tool. This initiative is solely carried on by Johanna etc...</div><div><br></div><div>Fact is that due to the dependency of a XML output report of the findings, I can totally assert that this tool cannot compare 1 on 1 any SAST/DAST tools against each other, therefore the claims done by Contrast are totally false:</div><div>Contrast dominates SAST & DAST in Speed and Accuracy?</div><div><br></div><div>This is so false😂....</div><div><br></div><div><a href="http://www.contrastsecurity.com/owasp-benchmark">http://www.contrastsecurity.com/owasp-benchmark</a><br></div><div><br></div><div><img src="cid:ii_1514ba2197b14f43" alt="Inline image 1" width="513" height="309"><br></div><div><br></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Nov 27, 2015 at 9:00 PM, Josh Sokol <span dir="ltr"><<a href="mailto:josh.sokol@owasp.org" target="_blank">josh.sokol@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div>I really like this idea, Johanna, and it seems inline with Dave's suggestion of having an Advisory Board for the project.  The one thing that I do think that we need to steer clear from, however, is in publishing the results of the tests conducted with the Benchmark.  If others want to test and publish their personal results, that's not something we can stop, but in an effort to be vendor-neutral, I think that OWASP should not be publishing results.<br><br></div>~josh<br></div><div class="gmail_extra"><br><div class="gmail_quote"><div><div class="h5">On Fri, Nov 27, 2015 at 4:16 PM, johanna curiel curiel <span dir="ltr"><<a href="mailto:johanna.curiel@owasp.org" target="_blank">johanna.curiel@owasp.org</a>></span> wrote:<br></div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div class="h5"><div dir="ltr">Hi Dave<div><br></div><div>>><span style="font-size:13px">I don¹t have licenses to any of these tools and so far, no one has stepped</span></div><span style="font-size:13px">up and offered to run any of these tools against the Benchmark.</span><div><span style="font-size:13px"><br></span></div><div><span style="font-size:13px">I think that the </span>Contrast marketing campaign hurt the participation of a promising project before it could take off.</div><div><br></div><div>For every specific xml output report , you need to create a parser in order to produce the reports. Without their collaboration or people with licences to test, you won't get their input</div><div><br></div><div>As a neutral party with no conflict of interests in this project, I think we can request licenses to these vendors and with the participation of other volunteers that have no commercial ulterior motives to this. I have added Ali Ramzoo, who is also part of the  OWASP Research initiative</div><div><br></div><div>We could indeed:</div><div><ul><li>Promote that the project is under a neutral research initiative<br></li><li>Ask for licenses, <br></li><li>Deploy them in a VM we can all have access to<br></li><li>Verify if the tools can produce an XML output report (if not you cannot parse)<br></li><li>Discuss with them our findings privately before publishing our findings<br></li><li>We have also to be very conscious that if the XML report does not generate all the findings in their tool (as the case of ZAP with Fuzzing) then we need mention this very clear. Otherwise you can hurt the reputation of the tool.<br></li></ul></div><div><br></div><div>This is how I can help this project and try to create a neutral clean view of a tool which I believe has potential but it needs to shake off all the publicity around Contrast</div><div><br></div><div>Regards</div><span><font color="#888888"><div><br></div><div>Johanna</div></font></span></div>
<br></div></div>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div>
</blockquote></div><br></div>