<div dir="ltr"><div style="font-size:13px">a) how do we mature OWASP projects? OpenSAMM or CII or both</div><div style="font-size:13px"><br></div><div style="font-size:13px">OWASP does not mature projects. The project leader does that with contributions of volunteers. The willingness of a project leader and his abilities and talent does that. CII is a criteria created for auto-evaluation and this is where it must be begin. The leader must understand what is expected from his project at all levels. OPENSAMM is not the right tool for this and I want to refresh your mind when in 2014 Samantha suggested this and this was a total failure.If you are a developer you should understand ;-)</div><div style="font-size:13px"><br></div><div style="font-size:13px">OWASP does not offer the necessary financial support or a big developer community to make grow a project at high level. ZAP is ZAP right now because Mozilla is behind ZAP and recently ZAP got a grant from Linux. The look for that grant was not supported by OWASP. A volunteer did that.</div><div style="font-size:13px"><br></div><div style="font-size:13px">b) Can OWASP Foundation provide the infrastructure and tooling to allow these metrics to be met using automated means, thus improving our understanding of incubator, labs, mature, and flagship projects?</div><div style="font-size:13px"><br></div><div style="font-size:13px">Partially. OWasp is a good place to <i>market</i> a project . Even other open source developers use OWASP to promote their open source projects that are not even part of OWASP , such as the BEEF project and many others.</div><div style="font-size:13px">OWASP has chapters and conferences where project leaders can promote their projects, especially if the project leader has financial means. But OWASP is no Linux nor Apache where you have a big community of DEVELOPERS ready to participate and contribute with code. We lack that kind of skill from volunteers in the community.</div><div style="font-size:13px">Thats why I mentioned, if OWASP wants to develop projects it need a serious Volunteer Management Program to attract developers and match them with projects that are really willing to make it.</div><div style="font-size:13px">OWASP can help projects with the Gsoc but lets face it, only a handful can make it and are willing to participate.</div><div style="font-size:13px"><br></div><div style="font-size:13px">I decided to start some open source projects outside OWASP because I do not see the benefit of having all these criteria and rules while OWASP does not have the developer community neither the financial budget to help me develop a project at high level. For me as a developer is easier to do it alone and look for sponsors and grants and manage them as I need. Keep in mind that to produce software of Quality a lot of effort in monetary means or time must be invested. I have been a Developer and Team leader during my 17 years of professional career and recently to get more around pen testing while doing OSCP and graduated with a Msc in Information security back in 2009.</div><div style="font-size:13px"><br></div><div style="font-size:13px"><br></div><div style="font-size:13px">c) What is valuable to us as an organisation? We should work on those first. <br></div><div style="font-size:13px">Very good question. OWASP lacks many things to make it attractive for Developers to start a project here. I mean Developers working on security so most of these guys will start their own thing without OWASP.</div><div style="font-size:13px">Unfortunately many people starting projects at OWASP do it to promote themselves or their security companies, not to really to 'develop an open source project' for the long run. A kind of 'marketing tool'. So OWASP attracts some people that are not exactly the target group you want to develop software at a higher level.</div><div style="font-size:13px"><br></div><div style="font-size:13px">OWASP should reconsider focusing in what does best: Conferences and chapters. Most people attracted to these are security professionals and vendors looking to exchange information and discuss security vulnerabilities. But I don't see Full time developers joining OWASP . Is not really the place where you feel at home. We don't discuss how to develop better software at a technical code level or how to improve frameworks because we lack developers . Most discussions are around pen testing, guidelines  and how to find vulnerabilities.Thats a complete different mind set than a developer. </div><div style="font-size:13px"><br></div><div style="font-size:13px">Develop of secure code is about <i>how</i> to code secure and make it easier for a developer to implement security. ESAPI was an attempt to that but right now APACHE SHIRO is a much better option and easier to use imo. Microsoft is doing an excellent work and many other frameworks like Node.JS are improving their security.</div><div style="font-size:13px"><br></div><div style="font-size:13px"><br></div><div style="font-size:13px"><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, May 9, 2016 at 3:34 AM, Andrew van der Stock <span dir="ltr"><<a href="mailto:vanderaj@owasp.org" target="_blank">vanderaj@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">I see this as being <div><br></div><div>a) how do we mature OWASP projects? OpenSAMM or CII or both</div><div>b) Can OWASP Foundation provide the infrastructure and tooling to allow these metrics to be met using automated means, thus improving our understanding of incubator, labs, mature, and flagship projects?</div><div>c) What is valuable to us as an organisation? We should work on those first. </div><div><br></div><div>In the first instance, asking our flagship projects to self-assess if they are coding projects is going to be a light touch approach, and helps us understand where projects could invest SoC funding or drive volunteer effort in a targetted and focused way. </div><div><br></div><div>So many times, people add complexity and features to an application, but do not drive quality and all the -alities of a good software project. </div><div><br></div><div>Personally, we have a home grown set of principles with OpenSAMM, some of the best value for OWASP project *users* and *project owners* might be in the intersection of these two things. </div><div><br></div><div>thanks</div><span class="HOEnZb"><font color="#888888"><div>Andrew</div><div><br></div></font></span></div><div class="HOEnZb"><div class="h5"><div class="gmail_extra"><br><div class="gmail_quote">On Mon, May 9, 2016 at 6:18 AM, Larry Conklin <span dir="ltr"><<a href="mailto:larry.conklin@owasp.org" target="_blank">larry.conklin@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Johanna,  I think this is a may be a fair statement "<span style="font-size:12.8px"><i>Being someone who has looked closely most projects code and development process, I can tell with confidence , most, including those labeled as flagship , won't be able to comply with these norms</i></span>" but I am not as familiar with all the projects as you are. <div><br></div><div>But I think we have to step back a little a review.</div><div><br></div><div>This process is for the badge part is a self assessment. That said all developers in SourceForge, etc would never over state their own projects. lol But I think is is a great idea and OWASP is moving down the same path.</div><div><br></div><div>Our process that we are developing is a mix of self assessment and peer review. More emphasis with peer review will be placed on Flagship projects and not just self assessment. Also another major difference is we are also trying to accomplish something different then what CII is trying to accomplish and more inline with Apache open source. That is corralling in the Wild Wild West and having projects have some of the same rigor that Chapters have today. Like all projects have two leaders. Besides the self assessment and peer review we are also looking at what we can automate to help us.</div><div><br></div><div>But I will be honest I think something keeps getting left out of the discussion; Making OWASP a great place for security code projects. We are well on our way rock and rolling with conferences, chapters, web, cheat sheets, documentation. Now we need to rock and roll with Zap and other projects making OWASP to place to be for secure coding projects helping with application security. I would like to see more discussion on this.</div><div><br></div><div>I have reviewed the badge process. A lot of it is now covered in our assessment model. So that is a great thing and I thank you for bringing this process into the discussion. It is important. </div><span><font color="#888888"><div><br></div><div>Larry</div></font></span></div><div><div><div class="gmail_extra"><br><div class="gmail_quote">On Sat, May 7, 2016 at 11:07 AM, johanna curiel curiel <span dir="ltr"><<a href="mailto:johanna.curiel@owasp.org" target="_blank">johanna.curiel@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Tom,<div><br></div><div>CII Badge criteria is a heavy set of checklist to control that an open source project complies with certain norms in different fields such as proper development and security</div><div><br></div><div>Being someone who has looked closely most projects code and development process, I can tell with confidence , most, including those labeled as flagship , won't be able to comply with these norms</div><div><br></div><div>Right now I think OWASP needs to set focus on developing a better platform to attract developers, volunteers and project leaders, motivating them to produce quality projects. </div><div><br></div><div>A volunteer program and platform that can help match volunteers with initiatives and projects.</div><div><br></div><div>Producing a quality project like ZAP needs dedication and resources including a deep commitment to make it work. ZAP project leader and volunteers work 100% on ZAP, this is by no means a 'hobby' or side project.Even so ZAP is right now 92% compliant with the CII criteria and still needs to work on it.</div><div><br></div><div>Most project leaders are doing this as side-hobby projects and in this way , we will never be able to pull off projects compliant with CII criteria.Most are lonely leaders building their projects when they have time and once in a while they have the collaboration of contributors.</div><div><br></div><div>So we need to be realistic and be careful not to impose projects a criteria or process they will never be able to fulfill without the right platform and incentives.</div><div><br></div><div>As I mentioned before I strongly recommend to focus on creating and building a volunteer program and really think through how to attract and retain volunteers, create initiatives that can help produce quality projects and work with those project leaders looking for help.</div><div><br></div><div>Collaboration and support is the key for creating meaningful and lasting open source projects.</div><div><br></div><div>Regards</div><div><br></div><div>Johanna</div><div><br></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote"><div><div>On Sat, May 7, 2016 at 10:16 AM, Tom Brennan - OWASP <span dir="ltr"><<a href="mailto:tomb@owasp.org" target="_blank">tomb@owasp.org</a>></span> wrote:<br></div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div><div dir="ltr">"The stakes have never been higher for open-source software security. With millions of people around the world relying on open source software — and vulnerabilities like Heartbleed putting everyone at risk — it's time to change the way we support, protect, and fortify open software."<br><br>Interesting article and project(s) now available<br><br><a href="http://www.linuxinsider.com/story/83463.html" target="_blank">http://www.linuxinsider.com/story/83463.html</a><br><br>Why should OWASP code based projects not work together on this initiative in raising visibility for Software security, improving our project quality and management.<br><br>Discussion, Debate, Agreement where do you stand on it OWASP Leaders?<br><br><a href="https://www.coreinfrastructure.org/programs" target="_blank">https://www.coreinfrastructure.org/programs</a><br><br><br>Tom Brennan<br>GPG ID: DC6AA149 | Fingerprint: 12A6 9978 45BB 1562 C921  B228 BD0F D9C6 DC6A A<br><br>OWASP Foundation | <a href="http://www.owasp.org" target="_blank">www.owasp.org</a><br>Tel:  (m) <a href="tel:973-506-9304" value="+19735069304" target="_blank">973-506-9304</a><br><br>Need to book time with me to discuss an existing or a future project click on my virtual calendar <a href="http://www.proactiverisk.com/brennan" target="_blank">http://www.proactiverisk.com/brennan</a></div>

<br>
<font size="2" style="background-color:white" color="#808080"><span style="font-family:'times new roman'">The information contained in this message and any attachments may be privileged, confidential, proprietary or otherwise protected from disclosure. If you, the reader of this message, are not the intended recipient, you are hereby notified that any dissemination, distribution, copying or use of this message and any attachment is strictly prohibited. If you have received this message in error, please notify the sender immediately by replying to the message, permanently delete it from your computer and destroy any printout.</span></font><br></div></div>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><span><font color="#888888"><br><br clear="all"><div><br></div>-- <br><div><div dir="ltr"><div>Johanna Curiel </div>OWASP Volunteer</div></div>
</font></span></div>
<br>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div>
</div></div><br>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr"><div>Johanna Curiel </div>OWASP Volunteer</div></div>
</div>