<div dir="ltr">Forget my silly stupid question<div><br></div><div>I have decided to support PhineasūüėĀ</div><div><br></div><div><div style="font-size:13px">For those who have not seen the video highly recommended</div><div style="font-size:13px"><br></div><div style="font-size:13px"><a href="https://tune.pk/video/6528544/hack" target="_blank">https://tune.pk/video/6528544/hack</a></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Sun, May 22, 2016 at 1:10 PM, Timothy D. Morgan <span dir="ltr"><<a href="mailto:tim.morgan@owasp.org" target="_blank">tim.morgan@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Kevin,<br>
<br>
Great points.¬† A few comments below.<br>
<span class=""><br>
<br>
> I think *we* can do these things if we stop sniping at each other for mundane<br>
> things like supporter logos, etc. and stand together. But if we are divided<br>
> rather than united, I don't think we stand a chance. We've already lost a<br>
> lot of good people. Let's lay outside our differences and unite to carry out<br>
> our mission statement. And stop majoring on the minors on focus on the<br>
> main things in our mission.<br>
<br>
</span>Yes.¬† There's far too much churn about things on the OWASP leaders list that are<br>
very tangential to the mission.¬† Let the board and staff make some<br>
minor decisions now and then and trust that they've had adequate discussions<br>
amongst themselves.¬† Elect new board members if you don't like the result.<br>
<span class=""><br>
<br>
> > Why can't we discuss and brainstorm new ways to defend applications? Bring a<br>
> > balance by spending more energy on this?<br>
> > How can OWASP motivate this more?<br>
><br>
> I have said for many years that we need to involve *DEVELOPERS* more instead<br>
> of more or less just targeting the security community.<br>
><br>
> Let's start with your local OWASP chapter meetings? What percentage of<br>
> attendees consider themselves developers? Take an informal poll sometime.<br>
> IMO, it should be at least 50%, but I think that it seldom is.<br>
<br>
</span>Very true.¬† It's always a struggle to get large numbers of developers to show<br>
up for OWASP meetings.¬† Security groups, by their nature, attract security<br>
people.<br>
<span class=""><br>
<br>
> I think we should also "recruit" developers with more intention.<br>
<br>
</span>YES!¬† And "recruit" in more ways than one.<br>
<span class=""><br>
> I've always<br>
> said that it's easier to teach a good developer appsec skills than it is<br>
> to teach someone with only appsec skills to be a good developer. (That's how<br>
> I assembled my AppSec team at my previous employer and I think that they are<br>
> all now more than proficient at appsec.) Especially on the "defense" side<br>
> of appsec, it is essential to have strong development skills so I think<br>
> that recruiting those people from the development community is the right<br>
> way to go forward.<br>
<br>
</span>The thing is, most deeply technical app security folks are not builders by<br>
their nature.¬† We like to deconstruct things and understand them.¬† Creating new<br>
things from whole cloth?¬† Less of an interest for many of us.¬† Not to mention,<br>
we're in high demand and always very busy with the next customer fire.<br>
<br>
If we want to build technical tools for defenders, we should recruit developers<br>
who have an interest in security and pay them for their time.¬† Convincing<br>
pentesters to build mature defensive frameworks on volunteer time isn't going<br>
to happen.<br>
<br>
tim<br>
</blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr"><div>Johanna Curiel¬†</div>OWASP Volunteer</div></div>
</div>