<div dir="ltr">Since we decommissioned the benchmarking project because they were too easily gamed for marketing (I remember those thread conclusions correctly, right?) in the fallout of the last incident, is there a strategic direction we should take with this or at least begin to discuss?<div><br></div><div>I guess that basically comes down to "does owasp want to have a magic quadrant for rasp/sec-as-a-service/static/dynamic analysis vendors" and, since everyone works for or with whoever this is, is it a realistic goal for owasp?</div><div><br></div><div>Might this just be a perennial panel discussion at events?</div><div><br></div><div>I'm sure people have given this a lot of thought, so since it's been a bit, I thought that I would ask.  It seems to me that a flat no to all doesn't help mere humans with these kinds of architecture and assurance measurement and analysis.</div><div><br></div><div>-i</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Apr 24, 2017 at 2:18 PM, Todd Grotenhuis <span dir="ltr"><<a href="mailto:todd.grotenhuis@owasp.org" target="_blank">todd.grotenhuis@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">The reason we're still talking about it is because it is a weakness that keeps getting exploited. <div><br>Because the Top 10 have been turned into false Compliance benchmarks, companies are saying they help with them or are compliant with them. And because there is business incentive to do that (e.g. PCI money), we see corporate manipulation of the Top 10 (e.g. new A7) to support companies that are compliant with or deal with certain Top 10 issues. It's not going to go away until we are more clear what the Top 10 represents and what it may and may not be used for. It remains an open weakness in our design.</div></div><div class="HOEnZb"><div class="h5"><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Apr 24, 2017 at 5:08 PM, Ian Gorrie <span dir="ltr"><<a href="mailto:ian.gorrie@owasp.org" target="_blank">ian.gorrie@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Isn't this the same kind of thing that everyone lost their mind over with Contrast?<div><br></div><div>Surprising that it would be repeated a year later.</div><span class="m_-1717390897581863494HOEnZb"><font color="#888888"><div><br></div><div>-i</div></font></span></div><div class="gmail_extra"><br><div class="gmail_quote"><div><div class="m_-1717390897581863494h5">On Mon, Apr 24, 2017 at 11:16 AM, Larry Conklin <span dir="ltr"><<a href="mailto:larry.conklin@owasp.org" target="_blank">larry.conklin@owasp.org</a>></span> wrote:<br></div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div class="m_-1717390897581863494h5"><div dir="ltr"><div>On this month's OWASP connector what does vendor Kiuwan mean in their ad saying their product is "Full OWASP Compliance"?   </div><div><br></div><div>I understand right below the add in small print it says "<span style="font-size:8pt">Ads are not endorsements and reflect the messages of the advertiser only. They represent co-marketing arrangements with other organizations in<br> support of the OWASP Community."</span></div><div><span style="font-size:8pt"><br></span></div><div>But saying something is "Full OWASP Compliance" in larger print on our own email used to communicate to the entire community seems to fly in the face of being vendor agnostic. </div><div><br></div><div>Larry Conklin, CISSP, CSSLP</div></div>
<br></div></div><span>______________________________<wbr>_________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" target="_blank">https://lists.owasp.org/mailma<wbr>n/listinfo/owasp-leaders</a><br>
<br></span></blockquote></div><br></div>
<br>______________________________<wbr>_________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" target="_blank">https://lists.owasp.org/mailma<wbr>n/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div>
</div></div></blockquote></div><br></div>