<div dir="ltr">Thank you Claudia<div><br></div><div>@Project leaders:</div><div><br></div><div>We are awaiting the final signing of BugCrowd contract and OWASP in order to provide more info on this part.</div><div><br></div><div>@Claudia: In the mean time we can set an FAQ wiki section explaining the program .</div><div><br></div><div>After the official signing, we can go a head a set a webinar to inform interested project leaders how they can be part of the BugCrowd bounty program and the requirements (what kind of technical steps they need to take) to provide hackers/researchers what they need to actually 'hack' and test their project</div><div><br></div><div>Additionally, we can use the GoToTraining Platform and record the session so leaders can go over the video afterwards if could assist.</div><div><br></div><div>The bounty is highly recommended for projects in the 'Defender' category such as </div><div><ul><li>CRSFGuard <br></li><li>SeraphimDroid<br></li><li>Mod-Security Core Rules<br></li><li>Appsensor</li><li>ESAPI</li><li>Python Security Library</li><li>Java Encoder</li><li>Java Sanitizer</li></ul><div>The major goals of these above mentioned projects is to protect (defend) applications. However, there are some projects like ZAP, that once installed in a computer, could make machines vulnerable to exploitation if there are issues found. </div></div><div>Projects such as</div><div><ul><li>Ende<br></li><li>Benchmark</li><li>ZAP<br></li><li>Dependency Check</li><li>Xenotix</li><li>ZSC </li><li>Any install/exe project </li></ul><br>We exclude from this program those obviously vulnerable projects such as WebGoat<br></div><div><br></div><div>So far I have spoken with CRSFGuard and SeraphimDroid Project leader to start with these ones. (SeraphimDroid after Gsoc and when ready for this)</div><div><br></div><div>CRSFGuard will be the first project I'll be assisting with the Bounty program.</div><div><br></div><div>Hope to have informed you accordingly</div><div><br></div><div>Johanna </div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Apr 18, 2016 at 4:40 PM, Claudia Casanovas <span dir="ltr"><<a href="mailto:claudia.aviles-casanovas@owasp.org" target="_blank">claudia.aviles-casanovas@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hi Johanna,<div><br></div><div>Please let me know if you need any assistance.  </div><div><br></div><div><br></div><div>Thank you</div></div><div class="gmail_extra"><br><div class="gmail_quote"><div><div class="h5">On Mon, Apr 18, 2016 at 12:22 PM, johanna curiel curiel <span dir="ltr"><<a href="mailto:johanna.curiel@owasp.org" target="_blank">johanna.curiel@owasp.org</a>></span> wrote:<br></div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div class="h5"><div dir="ltr">Hi Jim, Josh & project leaders of Defender projects<div><br></div><div>While there has been discussions regarding a budget for a Bug Bounty </div><div><a href="http://lists.owasp.org/pipermail/owasp-board/2016-April/017100.html" target="_blank">http://lists.owasp.org/pipermail/owasp-board/2016-April/017100.html</a></div><div><br></div><div>I want to make clear that , during the meetings we had with Bugcrowd, we spoke about starting the program for Security Libraries or Defender projects (like SeraphimDroid) with the Kudos program</div><div><br></div><div>They also advised us to start this way so the low hanging fruits are found first</div><div><br></div><div>In a later phase we could determine finding sponsors for paying bug bounties after this phase, but this has not been defined yet.</div><div><br></div><div>Also to clarify, I'm not part of any bug bounty related to OWASP assets, especially because I agree 100% with Matt Tesauro, who has clarified all the issues regarding this.</div><div><a href="http://lists.owasp.org/pipermail/owasp-board/2016-April/017091.html" target="_blank">http://lists.owasp.org/pipermail/owasp-board/2016-April/017091.html</a><br></div><div><br></div><div>Common sense and best practices dictates that there should be a mirror QA environment instead of allowing hackers go against OWASP production environment. </div><div><br></div><div><br></div><div>Regards</div><span><font color="#888888"><div><br></div><div><div><br></div>-- <br><div><div dir="ltr"><div>Johanna Curiel </div>OWASP Volunteer</div></div>
</div></font></span></div>
<br></div></div>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><span class="HOEnZb"><font color="#888888"><br><br clear="all"><div><br></div>-- <br><div><div dir="ltr"><div><div dir="ltr"><br></div><div dir="ltr"><br></div><div dir="ltr"><a href="mailto:claudia.aviles-casanovas@owasp.org" target="_blank">Claudia Aviles-Casanovas</a><div><div>Project Coordinator</div><div>Phone:<a href="tel:973-288-1697" value="+19732881697" target="_blank">973-288-1697</a></div></div></div></div></div></div>
</font></span></div>
</blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr"><div>Johanna Curiel </div>OWASP Volunteer</div></div>
</div>