<html><head><meta http-equiv="Content-Type" content="text/html charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><div class="">The workflow I use is very simple actually because need to be adapted to different teams with different SDLC models on different Countries, it’s more generic I would say:</div><div class=""><img apple-inline="yes" id="502275EF-6025-4DB8-B0BF-B3F3BA68D7DD" height="485" width="461" apple-width="yes" apple-height="yes" src="cid:C64398B5-2557-4207-9F73-712153AFD71E@roblest.com" class=""></div><div class="">Fixing: The issue is assigned to someone working on fixing it (link to issue in their own Agile board), if they challenge the issue and risk is accepted the issue is sent to Done using Risk Accepted or Not an issue as resolution</div><div class="">Testing: When security test the issue as part of the QA process</div><div class="">Deploying: Security accept or reject the fix sending it back to Fixing or providing approval moving it to the Deploying queue</div><div class="">Acceptance: Dev team move the issue to Acceptance when it’s ready on UAT for final tests</div><div class="">Done: Security will send the issue back to fixing is something wrong happened, otherwise will provide sign off by moving it to Done using resolution Fixed  </div><div class=""><br class=""></div>I use Jira dashboards but also some custom macro based metrics based on Jira exports<div class=""><br class=""></div><div class="">I do really like your workflow, however in my experience Dev teams start getting hesitant to follow your process when more clicks from their end are needed</div><div class=""><br class=""></div><div class="">btw, false positives are not included in my workflow because we never should have a FP included in a list of issues, everything should be validated before including it as an issue, if I have to add it, I think that will be as a Resolution type<br class=""><div class=""><br class=""></div><div class="">Mario</div><div class=""><br class=""><div><blockquote type="cite" class=""><div class="">On Nov 3, 2016, at 06:42, Dinis Cruz <<a href="mailto:dinis.cruz@owasp.org" class="">dinis.cruz@owasp.org</a>> wrote:</div><br class="Apple-interchange-newline"><div class=""><div dir="ltr" class="">Mario that is really nice, thanks for sharing<div class=""><br class=""></div><div class="">What workflow do you use to track the changes? Is it something like the (Kanban-like) right-hand side of :<br class=""><br class=""><span id="cid:ii_1582a34cf81f2a43"><image.png></span><br class=""><br class="">What about reporting? How do you visualise the data and stats you collect? (in Jira Dashboards or in confluence?)<div class=""><br class=""></div><div class="">Dinis</div></div></div>
</div></blockquote></div><br class=""></div></div></body></html>