<div dir="ltr"><br><b>Organizational</b><br>For the policy people.... OWASP simply needs to set-up a processes and policies following ISO 29147 and ISO 30111 or a comparable framework, publishing a security contact at your organization, and publishing your vulnerability handling preferences and philosophies.<br><a href="http://www.iso.org/iso/catalogue_detail.htm?csnumber=45170"><br>http://www.iso.org/iso/catalogue_detail.htm?csnumber=45170</a><br><br><a href="http://www.iso.org/iso/catalogue_detail.htm?csnumber=53231">http://www.iso.org/iso/catalogue_detail.htm?csnumber=53231</a><br><br>This is operational and common to every organization.<br><br>Today OWASP has a  "Contact US" form at OWASP and a part time contractor Matt T who gets paid about 15k per year to maintain systems best-effort scope: <a href="https://www.owasp.org/index.php/ITSupport">https://www.owasp.org/index.php/ITSupport </a> and ANY trusted volunteer who wants to help out is welcomed to do so.<div><br><b>Communications</b><br>For the community OWASP needs to simply have the ability to receive incoming vulnerability reports and having a verified channel to distribute advisories or other relevant security information to affected parties.  This starts with the contact-us form in basic process and could expand to 3rd party providers, tools, systems (HackerONE, BugCrowd etc..)</div><div><br></div><div><a href="https://www.owasp.org/index.php/About_OWASP/Bug_Bounty">https://www.owasp.org/index.php/About_OWASP/Bug_Bounty</a>  *DRAFT*<br><br><b>Analytics</b><br>The first step for OWASP should be to capture basic information about reported vulnerabilities, such as the date and who submitted it. This is now in place with a DRAFT outline and will get cleaned up with YOUR help (it's a wiki edit it or use the discussion tab)<br><br><b>Incentives</b><br>OWASP offers no incentives today..... but we do have perks like conferences (free tickets, speaker opportunities, owasp swag and many other items including available gift cards for thanks and recognition, to any reporter of a vulnerability on a wall of thank you page<br><br>MANY of the individual consultants, researchers, developers etc..etc.. that are on this list understand that this is a rather straightforward issue and commonplace in our industry and you know what the best thing is<div><br></div><div>"........ OWASP does not endorse or recommend commercial products or services, allowing our community to remain vendor neutral with the collective wisdom of the best minds in software security worldwide" <snip from our mission on homepage></div><div><br></div><div>P.S. - If we want to make it more robust there is also a OWASP Top 10 IR project that everyone is welcomed to get involved in too Policy <a href="https://www.owasp.org/index.php/OWASP_Incident_Response_Project">https://www.owasp.org/index.php/OWASP_Incident_Response_Project </a></div><div><br>Tom Brennan<br>Global Board of Directors<br>(d) 973-506-9304<br><br>OWASP Foundation | <a href="http://www.owasp.org">www.owasp.org</a><br><br><br><br>On Sat, Feb 13, 2016 at 8:32 AM, Gabriel Gumbs <<a href="mailto:gabriel@rfc1122.com">gabriel@rfc1122.com</a>> wrote:<br>><br>> Add my name to the list. Happy to help.<br>><br>> On Fri, Feb 12, 2016 at 6:01 PM, johanna curiel curiel <<a href="mailto:johanna.curiel@owasp.org">johanna.curiel@owasp.org</a>> wrote:<br>>><br>>> Andrew H, Frank and all of those volunteers that have kindly offer their help.<br>>><br>>> Thank you very much for volunteering to secure OWASP assets and web applications.<br>>><br>>> I will set this topic on the board's agenda.<br>>><br>>> For everyone that wants to help instead of preach, I have set this wiki page:<br>>> <a href="https://www.owasp.org/index.php/Help_Secure_Owasp_assests">https://www.owasp.org/index.php/Help_Secure_Owasp_assests</a><br>>><br>>> Set you name if you have editing rights to the wiki <br>>> Otherwise contact me, I'll gladly set you name on the list<br>>><br>>> the purpose of this is to structurize the efforts and no panic moves <br>>><br>>><br>>> Cheers<br>>><br>>> Johanna<br>>><br>>><br>>> On Fri, Feb 12, 2016 at 6:56 PM, Gregory Disney <<a href="mailto:gregory.disney@owasp.org">gregory.disney@owasp.org</a>> wrote:<br>>>><br>>>> Two sides of the coin, free testing can be a lot more damaging if the person hacking is just using some tool and unaware of its doing. Such as delete /etc/shadow of a production host, which I have seen. Other point is coverage of weaknesses how do you insure all weakness have been tested. On the other side less about damages when you pay, and again coverage. The third wheel is mostly like a combination of the two.<br>>>><br>>>><br>>>> On Friday, February 12, 2016, Rahim Jina <<a href="mailto:rahim.jina@owasp.org">rahim.jina@owasp.org</a>> wrote:<br>>>>><br>>>>> I don't think we need to pay for testing - I think there are enough people willing to test for free.<br>>>>><br>>>>> I'm happy to donate free cycles from our team of edgescan pentesters if requested.<br>>>>><br>>>>> Rahim<br>>>>><br>>>>> Sent from my iPhone<br>>>>><br>>>>> On 12 Feb 2016, at 19:53, Frank Catucci <<a href="mailto:frank.catucci@owasp.org">frank.catucci@owasp.org</a>> wrote:<br>>>>><br>>>>> All,<br>>>>><br>>>>> I spoke to Jim briefly about this at AppSec Cali, and I am still willing to assist but I am afraid we are at a crossroads. I still think a bug bounty program is a great idea no matter what scope we start with or progress to. However, the issue of security resources dedicated to this effort needs to be discussed with a very real and tangible outcome and timeline. Whether we decide to pay for these positions and resources or not, the discussion needs to happen. How important is this to OWASP? That's a great starting point IMO....<br>>>>><br>>>>> Regards,<br>>>>><br>>>>> Frank<br>>>>><br>>>>> On Feb 12, 2016, at 2:46 PM, johanna curiel curiel <<a href="mailto:johanna.curiel@owasp.org">johanna.curiel@owasp.org</a>> wrote:<br>>>>><br>>>>> >>For OWASP  website did you conduct a risk analysis, threat modelling, secure code and security testing ? <br>>>>> We must apply these application security on our assets first. We must be a good example for others.<br>>>>><br>>>>> Are you serious ? <br>>>>> We are a bunch of 'appsec experts' volunteers that have no time for that...<br>>>>><br>>>>> Wait, that looks like the excuse the developer gave me last week when I tested his app,<br>>>>><br>>>>>  he told me he didn't have time to implement security because he had to push the release <br>>>>> and all those OWASP's guidelines are making him crazy <br>>>>><br>>>>> We are a volunteer based org that promotes web security<br>>>>> No resources to maintain and manage properly, no time for planning, risk analysing, patching, testing...<br>>>>> just like that Dev without time to implement security, or that company without budget...<br>>>>><br>>>>> OWASP top ten, OpenSAMM, ASVS, Code Review....<br>>>>><br>>>>> XSS bugs on XSS cheat sheet wiki was found and reported months ago <br>>>>><br>>>>>  wait...we don't practice what we preach <br>>>>><br>>>>><br>>>>><br>>>>> Ok folks I'm poking you, seriously, are we now at the same level than those companies and devs we advise so hardly about security and always with excuse why they can't ?<br>>>>><br>>>>> You see now how hard is to do it sometimes...those guidelines & knowledge are worth nothing if there is no proper execution.<br>>>>><br>>>>> On Fri, Feb 12, 2016 at 2:43 PM, Azzeddine Ramrami <<a href="mailto:azzeddine.ramrami@owasp.org">azzeddine.ramrami@owasp.org</a>> wrote:<br>>>>>><br>>>>>> Hi,<br>>>>>> For OWASP  website did you conduct a risk analysis, threat modeling, secure code and security testing ?<br>>>>>><br>>>>>> We must apply these application security on our assets first. We must be a good example for others.<br>>>>>><br>>>>>> Regards<br>>>>>> Azzeddine RAMRAMI<br>>>>>><br>>>>>> Le 12 févr. 2016 7:34 PM, "Richard Greenberg" <<a href="mailto:richard.greenberg@owasp.org">richard.greenberg@owasp.org</a>> a écrit :<br>>>>>>><br>>>>>>> +1<br>>>>>>><br>>>>>>> Richard Greenberg, CISSP<br>>>>>>> President, OWASP Los Angeles, <a href="http://www.owaspla.org">www.owaspla.org</a><br>>>>>>> ISSA Fellow<br>>>>>>> President, ISSA Los Angeles, <a href="http://www.issa-la.org">www.issa-la.org</a><br>>>>>>> LinkedIn:  <a href="http://www.linkedin.com/in/richardagreenberg">http://www.linkedin.com/in/richardagreenberg</a><br>>>>>>> (424) 261-8111<br>>>>>>><br>>>>>>> On Thu, Feb 11, 2016 at 10:11 PM, Andrew van der Stock <<a href="mailto:vanderaj@owasp.org">vanderaj@owasp.org</a>> wrote:<br>>>>>>>><br>>>>>>>> Agreed.<br>>>>>>>><br>>>>>>>> Andrew<br>>>>>>>><br>>>>>>>> On Fri, Feb 12, 2016 at 4:54 PM, Jim Manico <<a href="mailto:jim.manico@owasp.org">jim.manico@owasp.org</a>> wrote:<br>>>>>>>>><br>>>>>>>>> > we run around with our hands in the air when drama hits Twitter more than than normal.<br>>>>>>>>><br>>>>>>>>> I would rephrase that as "some of us who actually give a sh%t go and fix the problem as best we can"<br>>>>>>>>><br>>>>>>>>> - Jim<br>>>>>>>>><br>>>>>>>>><br>>>>>>>>> On 2/11/16 9:52 PM, Andrew van der Stock wrote:<br>>>>>>>>><br>>>>>>>>> I think this also comes down to the infrastructure transformation that I've asked Matt T to get ready for us since our last F2F at AppSec USA. We need to simplify our IT fleet, and really get it behind a proper enterprise architecture, rather than a rag tag collection of out of date stuff that we inherit. We only have so much Matt T time to maintain this stuff, and so pen testing it without also addressing the root cause: we have no idea where all our stuff is, who has admin, how it authenticates, we don't monitor it for attacks, and we don't have an IR plan and we run around with our hands in the air when drama hits Twitter more than than normal.<br>>>>>>>>><br>>>>>>>>> I want a transformation plan, where we have only one of everything, and all the things we have is well managed and monitored. This will reduce our IT costs, and be better aligned with the resources we currently allocate to this task. <br>>>>>>>>><br>>>>>>>>> This is not rocket science. <br>>>>>>>>><br>>>>>>>>> thanks,<br>>>>>>>>> Andrew<br>>>>>>>>><br>>>>>>>>><br>>>>>>>>> On Fri, Feb 12, 2016 at 4:18 PM, Jim Manico <<a href="mailto:jim.manico@owasp.org">jim.manico@owasp.org</a>> wrote:<br>>>>>>>>>><br>>>>>>>>>> +1 Thank you wall for security researchers who have helped us find bugs!<br>>>>>>>>>><br>>>>>>>>>> Good stuff Tom, thanks for getting this started. I'm sure Josh will be especially interested in this.<br>>>>>>>>>><br>>>>>>>>>> Aloha,<br>>>>>>>>>> Jim<br>>>>>>>>>><br>>>>>>>>>><br>>>>>>>>>><br>>>>>>>>>> On 2/11/16 9:13 AM, Tom Brennan - OWASP wrote:<br>>>>>>>>>><br>>>>>>>>>> Post mortem of fixes would be nice to have and a wall of thank you should be established yes?<br>>>>>>>>>><br>>>>>>>>>> *draft*<br>>>>>>>>>> <a href="https://www.owasp.org/index.php/About_OWASP/Bug_Bounty">https://www.owasp.org/index.php/About_OWASP/Bug_Bounty</a><br>>>>>>>>>><br>>>>>>>>>> Tom Brennan<br>>>>>>>>>> Global Board of Directors<br>>>>>>>>>> (d) 973-506-9304<br>>>>>>>>>><br>>>>>>>>>> OWASP Foundation | <a href="http://www.owasp.org">www.owasp.org</a><br>>>>>>>>>><br>>>>>>>>>><br>>>>>>>>>> On Thu, Feb 11, 2016 at 1:48 AM, Jim Manico <<a href="mailto:jim.manico@owasp.org">jim.manico@owasp.org</a>> wrote:<br>>>>>>>>>> > Right, but two OWASP researchers posted live bugs over Twitter today. We<br>>>>>>>>>> > have to deal with it Kevin. I'd rather we know than not know, sooner than<br>>>>>>>>>> > later. One of the bugs noted I fixed earlier today.<br>>>>>>>>>> ><br>>>>>>>>>> > Knowing is half the battle.<br>>>>>>>>>> ><br>>>>>>>>>> > Aloha,<br>>>>>>>>>> > Jim<br>>>>>>>>>> ><br>>>>>>>>>> ><br>>>>>>>>>> > On 2/10/16 10:14 PM, Kevin W. Wall wrote:<br>>>>>>>>>> ><br>>>>>>>>>> > And to add to Timo's thoughts...if we have an RFP to redo the OWASP site, if<br>>>>>>>>>> > we do put out a bug bounty, perhaps we should wait until that effort is<br>>>>>>>>>> > finished, otherwise we may end up fixing things twice.<br>>>>>>>>>> ><br>>>>>>>>>> > -kevin<br>>>>>>>>>> ><br>>>>>>>>>> > On Thu, Feb 11, 2016 at 1:04 AM, Timo Goosen <<a href="mailto:timo.goosen@owasp.org">timo.goosen@owasp.org</a>> wrote:<br>>>>>>>>>> >><br>>>>>>>>>> >> "But in the meantime, here are a few resources to report your findings to<br>>>>>>>>>> >> if you run into security issues (and I use "run into" with intention because<br>>>>>>>>>> >> you would never just start actively testing a website for security without<br>>>>>>>>>> >> permission in some way, right? Because doing so is a major criminal act in<br>>>>>>>>>> >> most countries, right?)"<br>>>>>>>>>> >> Depends. I've found bugs on sites before, unintentionally just by clicking<br>>>>>>>>>> >> around.<br>>>>>>>>>> >><br>>>>>>>>>> >> On the idea of a bug bounty project for OWASP. The idea is good, but I<br>>>>>>>>>> >> don't think that OWASP has the resources to deal with a bug bounty program<br>>>>>>>>>> >> and the flood of reports that will becoming in. Researchers get very annoyed<br>>>>>>>>>> >> if you don't respond promptly and take them seriously. Just something to<br>>>>>>>>>> >> consider.<br>>>>>>>>>> >><br>>>>>>>>>> >> Regards.<br>>>>>>>>>> >> Timo<br>>>>>>>>>> >><br>>>>>>>>>> >> On Thu, Feb 11, 2016 at 6:15 AM, Jim Manico <<a href="mailto:jim.manico@owasp.org">jim.manico@owasp.org</a>> wrote:<br>>>>>>>>>> >>><br>>>>>>>>>> >>> Folks,<br>>>>>>>>>> >>><br>>>>>>>>>> >>> A few OWASP researchers have found bugs on OWASP's wiki and decided to<br>>>>>>>>>> >>> disclose them in public over twitter before reporting to OWASP.<br>>>>>>>>>> >>><br>>>>>>>>>> >>> Can you please disclose to me or Matt Tesauro or use the contact form or<br>>>>>>>>>> >>> do anything other than disclose in public before discussing this with OWASP<br>>>>>>>>>> >>> IT staff and support?<br>>>>>>>>>> >>><br>>>>>>>>>> >>> Also, Josh Sokol is in the middle of ramping up a more formal bug bounty<br>>>>>>>>>> >>> program and will provide a more formal method for disclosure in the near<br>>>>>>>>>> >>> future.<br>>>>>>>>>> >>><br>>>>>>>>>> >>> But in the meantime, here are a few resources to report your findings to<br>>>>>>>>>> >>> if you run into security issues (and I use "run into" with intention because<br>>>>>>>>>> >>> you would never just start actively testing a website for security without<br>>>>>>>>>> >>> permission in some way, right? Because doing so is a major criminal act in<br>>>>>>>>>> >>> most countries, right?)<br>>>>>>>>>> >>><br>>>>>>>>>> >>> Thanks all.<br>>>>>>>>>> >>><br>>>>>>>>>> >>> Matt Tesauro: <a href="mailto:matt.tesauro@owasp.org">matt.tesauro@owasp.org</a><br>>>>>>>>>> >>> Jim Manico:  <a href="mailto:jim@owasp.org">jim@owasp.org</a><br>>>>>>>>>> >>> Contact Form: <a href="https://www.tfaforms.com/308703">https://www.tfaforms.com/308703</a><br>>>>>>>>>> >>><br>>>>>>>>>> >>> Aloha,<br>>>>>>>>>> >>> Jim Manico<br>>>>>>>>>> >>> OWASP Global Board Member<br>>>>>>>>>> >>><br>>>>>>>>>> >>> _______________________________________________<br>>>>>>>>>> >>> OWASP-Leaders mailing list<br>>>>>>>>>> >>> <a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>>>>>>>>>> >>> <a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>>>>>>>>>> >>><br>>>>>>>>>> >><br>>>>>>>>>> >><br>>>>>>>>>> >> _______________________________________________<br>>>>>>>>>> >> Owasp-community mailing list<br>>>>>>>>>> >> <a href="mailto:Owasp-community@lists.owasp.org">Owasp-community@lists.owasp.org</a><br>>>>>>>>>> >> <a href="https://lists.owasp.org/mailman/listinfo/owasp-community">https://lists.owasp.org/mailman/listinfo/owasp-community</a><br>>>>>>>>>> >><br>>>>>>>>>> ><br>>>>>>>>>> ><br>>>>>>>>>> ><br>>>>>>>>>> > --<br>>>>>>>>>> > Blog: <a href="http://off-the-wall-security.blogspot.com/">http://off-the-wall-security.blogspot.com/</a>    | Twitter: @KevinWWall<br>>>>>>>>>> > NSA: All your crypto bit are belong to us.<br>>>>>>>>>> ><br>>>>>>>>>> ><br>>>>>>>>>> ><br>>>>>>>>>> > _______________________________________________<br>>>>>>>>>> > Owasp-community mailing list<br>>>>>>>>>> > <a href="mailto:Owasp-community@lists.owasp.org">Owasp-community@lists.owasp.org</a><br>>>>>>>>>> > <a href="https://lists.owasp.org/mailman/listinfo/owasp-community">https://lists.owasp.org/mailman/listinfo/owasp-community</a><br>>>>>>>>>> ><br>>>>>>>>>><br>>>>>>>>>><br>>>>>>>>>><br>>>>>>>>>> --<br>>>>>>>>>><br>>>>>>>>>> Tom Brennan<br>>>>>>>>>> Global Board of Directors<br>>>>>>>>>> NYC/NJ Metro Chapter Leader<br>>>>>>>>>> (d) 973-506-9304<br>>>>>>>>>><br>>>>>>>>>> OWASP Foundation | <a href="http://www.owasp.org">www.owasp.org</a><br>>>>>>>>>><br>>>>>>>>>> The information contained in this message and any attachments may be privileged, confidential, proprietary or otherwise protected from disclosure. If you, the reader of this message, are not the intended recipient, you are hereby notified that any dissemination, distribution, copying or use of this message and any attachment is strictly prohibited. If you have received this message in error, please notify the sender immediately by replying to the message, permanently delete it from your computer and destroy any printout.<br>>>>>>>>>><br>>>>>>>>>><br>>>>>>>>>><br>>>>>>>>>> _______________________________________________<br>>>>>>>>>> OWASP-Leaders mailing list<br>>>>>>>>>> <a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>>>>>>>>>> <a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>>>>>>>>>><br>>>>>>>>><br>>>>>>>>><br>>>>>>>><br>>>>>>>><br>>>>>>>> _______________________________________________<br>>>>>>>> Owasp-community mailing list<br>>>>>>>> <a href="mailto:Owasp-community@lists.owasp.org">Owasp-community@lists.owasp.org</a><br>>>>>>>> <a href="https://lists.owasp.org/mailman/listinfo/owasp-community">https://lists.owasp.org/mailman/listinfo/owasp-community</a><br>>>>>>>><br>>>>>>><br>>>>>>><br>>>>>>> _______________________________________________<br>>>>>>> Owasp-community mailing list<br>>>>>>> <a href="mailto:Owasp-community@lists.owasp.org">Owasp-community@lists.owasp.org</a><br>>>>>>> <a href="https://lists.owasp.org/mailman/listinfo/owasp-community">https://lists.owasp.org/mailman/listinfo/owasp-community</a><br>>>>>>><br>>>>>><br>>>>>> _______________________________________________<br>>>>>> Owasp-community mailing list<br>>>>>> <a href="mailto:Owasp-community@lists.owasp.org">Owasp-community@lists.owasp.org</a><br>>>>>> <a href="https://lists.owasp.org/mailman/listinfo/owasp-community">https://lists.owasp.org/mailman/listinfo/owasp-community</a><br>>>>>><br>>>>><br>>>>> _______________________________________________<br>>>>> OWASP-Leaders mailing list<br>>>>> <a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>>>>> <a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>>>>><br>>>>> _______________________________________________<br>>>>> OWASP-Leaders mailing list<br>>>>> <a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>>>>> <a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>>>><br>>>><br>>>> _______________________________________________<br>>>> Owasp-community mailing list<br>>>> <a href="mailto:Owasp-community@lists.owasp.org">Owasp-community@lists.owasp.org</a><br>>>> <a href="https://lists.owasp.org/mailman/listinfo/owasp-community">https://lists.owasp.org/mailman/listinfo/owasp-community</a><br>>>><br>>><br>>><br>>> _______________________________________________<br>>> OWASP-Leaders mailing list<br>>> <a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>>> <a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>>><br>><br>><br>> _______________________________________________<br>> OWASP-Leaders mailing list<br>> <a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>> <a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>><br></div></div></div>

<br>
<font size="2" style="background-color:white" color="#808080"><span style="font-family:'times new roman'">The information contained in this message and any attachments may be privileged, confidential, proprietary or otherwise protected from disclosure. If you, the reader of this message, are not the intended recipient, you are hereby notified that any dissemination, distribution, copying or use of this message and any attachment is strictly prohibited. If you have received this message in error, please notify the sender immediately by replying to the message, permanently delete it from your computer and destroy any printout.</span></font>