<html>
  <head>
    <meta content="text/html; charset=windows-1252"
      http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    <p>I mostly use it as an aid to woo my dear wife since it reads like
      poetry. :)<br>
    </p>
    <p>I also use ASVS in my developer training practice to standardize
      the courseware material I author. I also use it in my
      architectural analysis practice - I  fork ASVS with architect
      teams to help them build standards[1] for their company. I also
      use it with certain clients to help verify the work that their
      expensive pentest consultants deliver. I see ASVS as the heart of
      almost any aspect of an application security program.<br>
    </p>
    <p>Aloha Daniel, Jim</p>
    <p>[1] I think just handing the ASVS standard to developers "from
      the security department" is a fundamentally bad idea. It's crucial
      to go through an acceptance process where developers/architects
      review each requirement with the security team and accept and
      re-prioritize each requirement as it fits into their technology
      stack and culture. Then ASVS is no longer a forced standard - but
      a standard that the developer teams "own". This is subtle but
      critical to success, IMO.<br>
    </p>
    <br>
    <div class="moz-cite-prefix">On 6/30/16 8:36 AM, daniel cuthbert
      wrote:<br>
    </div>
    <blockquote
cite="mid:CAMZmHAmRYdKLWxECZPEST1L+=j_B4emz97qU4+KeErF3A-LVGA@mail.gmail.com"
      type="cite">
      <div dir="ltr">A huge thanks to all who submitted bugs and helped
        us get to another great release. If you've used it at your
        company, or on a project, would you mind dropping us a mail? 
        <div><br>
        </div>
        <div>Andrew, Jim and I would love to hear where/how you are
          using the ASVS.<br>
        </div>
        <div><br>
        </div>
        <div>thanks again to everyone who contributed. </div>
      </div>
      <div class="gmail_extra"><br>
        <div class="gmail_quote">On 29 June 2016 at 14:19, Andrew van
          der Stock <span dir="ltr"><<a moz-do-not-send="true"
              href="mailto:vanderaj@owasp.org" target="_blank">vanderaj@owasp.org</a>></span>
          wrote:<br>
          <blockquote class="gmail_quote" style="margin:0 0 0
            .8ex;border-left:1px #ccc solid;padding-left:1ex">
            <div dir="ltr">Hi there,
              <div><br>
              </div>
              <div>I am pleased to announce that through the auspices of
                the most awesome AppSec EU Project Summit, the OWASP
                Application Security Verification Standard 3.0.1 has
                been released!</div>
              <div><br>
              </div>
              <div><a moz-do-not-send="true"
href="https://www.owasp.org/index.php/Category:OWASP_Application_Security_Verification_Standard_Project#tab=Downloads"
                  target="_blank">https://www.owasp.org/index.php/Category:OWASP_Application_Security_Verification_Standard_Project#tab=Downloads</a><br>
              </div>
              <div><br>
              </div>
              <div>List of changes:</div>
              <div><a moz-do-not-send="true"
href="https://github.com/OWASP/ASVS/issues?q=milestone%3A3.0.1+is%3Aclosed"
                  target="_blank">https://github.com/OWASP/ASVS/issues?q=milestone%3A3.0.1+is%3Aclosed</a><br>
              </div>
              <div><br>
              </div>
              <div>Thank you to all those who logged issues, these have
                all been resolved, making 3.0.1 a much cleaner standard!
                If you find an issue that needs resolving, please log
                them directly in GitHub. </div>
              <div><br>
              </div>
              <div>I think the next version will be v4.0 and let's set a
                date of AppSec USA 2017, with working parties at each of
                the Project Summits at AppSec USA 2016 and AppSec EU
                2017. </div>
              <div><br>
              </div>
              <div>Some ideas for future topics of conversation</div>
              <div><br>
              </div>
              <div>* Add infrastructure / platform section</div>
              <div>* Add SDLC section</div>
              <div>* Revamp architecture section</div>
              <div>* Add more requirements on single page application
                (SPA) applications</div>
              <div>* Add more DOM protection issues</div>
              <div>* Consider if we need to add an IoT section</div>
              <div>* Closer integration with the killer OWASP SKF
                project (GET IT!)</div>
              <div>* Closer integration with all the other killer OWASP
                Guides </div>
              <div>* Consider breaking into Core, Mobile, App, SPA, IoT,
                Web Service so you can mix and match</div>
              <div>* Maintain all existing sections, weeding out old or
                ambiguous requirements</div>
              <div><br>
              </div>
              <div>If you feel you have something to contribute, either
                log issues marked as "4.0" milestone, or mail the ASVS
                mail list, or mail one of the project leaders! Actively
                looking for more contributors!</div>
              <div><br>
              </div>
              <div>thanks,</div>
              <div>Andrew</div>
            </div>
          </blockquote>
        </div>
        <br>
      </div>
      <br>
      <fieldset class="mimeAttachmentHeader"></fieldset>
      <br>
      <pre wrap="">_______________________________________________
Owasp-application-security-verification-standard mailing list
<a class="moz-txt-link-abbreviated" href="mailto:Owasp-application-security-verification-standard@lists.owasp.org">Owasp-application-security-verification-standard@lists.owasp.org</a>
<a class="moz-txt-link-freetext" href="https://lists.owasp.org/mailman/listinfo/owasp-application-security-verification-standard">https://lists.owasp.org/mailman/listinfo/owasp-application-security-verification-standard</a>
</pre>
    </blockquote>
    <br>
  
<DIV><P><HR>
DISCLAIMER:<BR>
================================================================================================================<BR>
"The information contained in this e-mail message may be privileged and/or confidential and protected from disclosure under applicable law. It is intended only for the individual to whom or entity to which it is addressed as shown at the beginning of the message. If the reader of this message is not the intended recipient, or if the employee or agent responsible for delivering the message is not an employee or agent of the intended recipient, you are hereby notified that any review, dissemination,distribution, use, or copying of this message is strictly prohibited. If you have received this message in error, please notify us immediately by return e-mail and permanently delete this message and your reply to the extent it includes this message. Any views or opinions presented in this message or attachments are those of the author and do not necessarily represent those of the Company. All e-mails and attachments sent and received are subject to monitoring, reading, and archival by the Company"<BR>
================================================================================================================
</P></DIV>
</body>
</html>