<html><head><meta http-equiv="Content-Type" content="text/html charset=us-ascii"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">Thanks for keeping us posted on these outcomes, Andrew. Much appreciated!<div class=""><br class=""></div><div class="">Cheers,</div><div class=""><br class=""></div><div class="">Ken van Wyk</div><div class=""><br class=""></div><div class=""><br class=""><div><blockquote type="cite" class=""><div class="">On Jun 13, 2017, at 10:07 AM, Andrew van der Stock <<a href="mailto:vanderaj@owasp.org" class="">vanderaj@owasp.org</a>> wrote:</div><br class="Apple-interchange-newline"><div class=""><div dir="ltr" class=""><b class="">Session #1  Data Weighting</b><div class=""><b class=""><br class=""></b></div><div class="">This was a great session, where we agreed on what's staying and the "why" weighting and normalization. </div><div class=""><br class=""></div><div class="">There will be a second data call, ending on August 25. If you can provide data in the same format as found here (<a href="https://github.com/OWASP/Top10/blob/master/2017/datacall/OWASP%20Top%2010%20-%202017%20Data%20Call-Public%20Release.xlsx" class="">https://github.com/OWASP/Top10/blob/master/2017/datacall/OWASP%20Top%2010%20-%202017%20Data%20Call-Public%20Release.xlsx</a>), that would be great. We are looking for large and small data sets - tool or human driven, we want it all. We will get that out widely once I have a a chance to talk it over with Foundation Staff. I will reach out to those who have volunteered recently, but there will be a widespread and coordinated social media blitz once we're ready to do it. I want this to be a trial run for the OWASP Top 10 2020 data collection so we can learn from it as well. </div><div class=""><br class=""></div><div class="">Secondly, I will work with Brian Glas to define a set of 5-10 "on the cusp" / forward looking inclusions and let the community decide the fate of A7 / A10. Depending on the risk rating of the issues that are likely to be considered (XXE, Serialization, etc) may mean A7 and A10 move around a bit. </div><div class=""><br class=""></div><div class="">Thirdly, I will work with Brian Glas and others to help define not only the final weighting for 2017, but some interesting questions for the 2020 data call, so basically, what could be done better for next time. We have agreed in this session, it's too late to change the data collection as we've already collected a lot of data. </div><div class=""><br class=""></div><div class="">Lastly, we have decided on a final date for the next release of the OWASP Top 10 2017 - late November, probably just before Thanksgiving. I will try to get it out the week before. This drives various dates before then. We are looking for a relatively final release candidate in October to make sure that the data has had time to be analysed and included. <br class=""><div class=""><br class=""></div><div class=""><ul type="disc" style="margin-left:0.375in;direction:ltr;unicode-bidi:embed;margin-top:0in;margin-bottom:0in" class="">
 <li style="margin-top:0px;margin-bottom:0px;vertical-align:middle" class=""><span style="font-family:Calibri;font-size:11pt" class="">We are keeping 8 (A1, A2, A3,
     A4, A5, A6, A8, A9) - consensus view</span></li>
 <li style="margin-top:0px;margin-bottom:0px;vertical-align:middle" class=""><span style="font-family:Calibri;font-size:11pt" class="">Data call open immediately to
     August 25</span></li>
 <li style="margin-top:0px;margin-bottom:0px;vertical-align:middle" class=""><span style="font-family:Calibri;font-size:11pt" class="">Data format is to be the same
     for the 2017 data call for any additional data</span></li>
 <li style="margin-top:0px;margin-bottom:0px;vertical-align:middle" class=""><span style="font-family:Calibri;font-size:11pt" class="">Get enough data for
     repeatable data calls in later years</span></li>
 <li style="margin-top:0px;margin-bottom:0px;vertical-align:middle" class=""><span style="font-family:Calibri;font-size:11pt" class="">In conjunction, survey
     community to develop the two forward looking items, also August 25</span></li>
 <li style="margin-top:0px;margin-bottom:0px;vertical-align:middle" class=""><span style="font-family:Calibri;font-size:11pt" class="">Compile a survey by June 30
     (Brian Glas / AJV + anyone),</span></li>
 <li style="margin-top:0px;margin-bottom:0px;vertical-align:middle" class=""><span style="font-family:Calibri;font-size:11pt" class="">November 25, 2017</span></li>
</ul></div><div class=""><br class=""></div><div class=""><br class=""></div><div class=""><b class="">Session #2 Review of A7 (and A10)</b></div><div class=""><b class=""><br class=""></b></div><div class="">Dave took us through how A7 and A10 came to be, and honestly, after initial skepticism, this one really grew on me. The number of times I've performed a full throttle pen test and the client hasn't detected me or even noticed I'm now an admin with all the data is a bit worrying, so I think as we've decided that up to two forward looking issues are to be reserved per edition, I am actually pretty okay with this issue now. However, we are still going to do the data call and it might still miss out or be made into a lower priority. We will see. </div><div class=""><br class=""></div><div class="">I added in all of the feedback that Dave had. If any feedback is missing, please log it to Github. </div><div class=""><b class=""><br class=""></b></div><div class=""><i class="">Agreed outcomes</i></div><div class=""><ul type="disc" style="margin-left:0.375in;direction:ltr;unicode-bidi:embed;margin-top:0in;margin-bottom:0in" class="">
 <li style="margin-top:0px;margin-bottom:0px;vertical-align:middle" class=""><span style="font-family:Calibri;font-size:11pt" class="">Rename the section to Insufficient
     Attack Preparation or Insufficient detection and response </span></li>
 <li style="margin-top:0px;margin-bottom:0px;vertical-align:middle" class=""><span style="font-family:Calibri;font-size:11pt" class="">Ensure that products and
     services are OWASP aligned, e.g. Name OWASP projects and remove commercial offerings</span></li>
 <li style="margin-top:0px;margin-bottom:0px;vertical-align:middle" class=""><span style="font-family:Calibri;font-size:11pt" class="">This is an "app"
     problem, helps dev and ops to work together, and should encourage. N</span>othing about ops in it,
     first devops issue. Might add more to existing text to make it more aligned with the devops movement </li>
</ul><p style="margin:0in;font-family:Calibri;font-size:11pt" class=""> </p><div style="margin: 0in; font-family: Calibri; font-size: 11pt;" class=""><i class="">Still in the air:</i></div><p style="margin:0in;font-family:Calibri;font-size:11pt" class=""></p><ul class=""><li class="">Dave suggests we
release an intermediate RC2 this month, RC3 later in the year and document
that process and dates<br class=""></li><li class="">AJV notes he is
moving countries and may not achieve this in June. <span style="font-size:11pt" class="">AJV wants to do
weekly releases or just track master on Github.</span></li></ul>I will make a decision on this depending on how much I have on my plate. I have to be realistic here as much as I want the issues documented in Github taken care of<br class=""><p style="margin:0in;font-family:Calibri;font-size:11pt" class=""> </p><div style="margin: 0in; font-family: Calibri; font-size: 11pt;" class="">Torsten suggested we
use a Top 10 for Developers (). I will follow up with him to find this and also to think about OWASP Top 10 for Defenders to complement OWASP Proactive Controls / OWASP Top 10 Risks. This is not decided or an agreed outcome. </div><div style="margin: 0in; font-family: Calibri; font-size: 11pt;" class=""><br class=""></div><div class=""><b class="">Review of the OWASP Top 10 RC1</b></div><div class=""><br class=""></div><div class="">If you want to spend time reviewing the current draft, please do so, and provide feedback here:</div><div class=""><br class=""></div><div class=""><a href="https://github.com/OWASP/Top10/issues" class="">https://github.com/OWASP/Top10/issues</a><br class=""></div><div class=""><br class=""></div><div class="">Please only one issue per area (i.e. "F" or "A3"), with the format of "what is wrong", "argument or data that backs your change", and "proposed change". If it's just a small typo, spelling error, or minor edit, no argument data is required.  </div></div><div class=""><br class=""></div><div class=""><br class=""></div><div class=""><b class="">End of the OWASP Top 10 track</b></div><div class=""><br class=""></div><div class="">The rest of the week is free time. Thank you to everyone who participated in person and remotely. We had a few audio issues, but once video was dropped it came good. </div><div class=""><br class=""></div><div class="">We have made it to a point where action items need to be done by me and Brian Glas on the data call and editing the issues in Github. I don't want to waste folks time especially as there are so many great sessions on is for the attendees aiming to attend OWASP Top 10 tracks to find other tracks to learn more about the other great projects and initiatives at OWASP. </div><div class=""><br class=""></div><div class=""><br class=""></div><div class=""><b class="">Contacting me</b></div><div class=""><br class=""></div><div class="">I am moving countries, but I will try to make myself available. I'm obviously available here via e-mail and Hangouts, but also on Skype (vanderaj), on Twitter (@vanderaj). I do maintain a somewhat active presence on Google+ but I know few of you do. +Andrew van der Stock. I'd give my cell number, but it's got about 6 days to live, so yeah, nah. </div><div class=""><br class=""></div><div class="">thanks,</div><div class="">Andrew</div></div></div>
_______________________________________________<br class="">OWASP-Leaders mailing list<br class=""><a href="mailto:OWASP-Leaders@lists.owasp.org" class="">OWASP-Leaders@lists.owasp.org</a><br class="">https://lists.owasp.org/mailman/listinfo/owasp-leaders<br class=""></div></blockquote></div><br class=""></div></body></html>