Jeremiah has a great blog entry on <i><a href="http://jeremiahgrossman.blogspot.com/2010/12/why-speed-frequency-of-software.html">&quot;Why Speed &amp; Frequency of Software Security Testing Matter, A LOT&quot;</a> </i>which includes a couple very nice quotes on O2 :)<div>
<br></div><div><i>&quot;...<meta charset="utf-8"><span class="Apple-style-span" style="font-family: &#39;Trebuchet MS&#39;, Verdana, Arial, sans-serif; font-size: 14px; line-height: 20px; ">I also wanted to briefly touch on the differences between act of &quot;writing secure code&quot; and &quot;testing the security of code.&quot; I donít recall when or where, but†<a href="http://twitter.com/diniscruz" style="color: rgb(0, 130, 222); ">Dinis Cruz</a>, OWASP Board Member and visionary behind the†<a href="http://www.o2platform.com/wiki/Main_Page" style="color: rgb(0, 130, 222); ">02 Platform</a>, said something a while back that stuck with me. Dinis said developers need to be provided exactly the right security knowledge at exactly the time they need it. Asking developers to read and recall veritable mountains of defensive programming doís and doníts as they carry out their day job isnít effective or scalable.<br>
<br>For example, it would be much better if when a developer is interacting with database they are automatically reminded to use parameterized SQL statements. When handling user-supplied input, pop-ups immediately point to the proper data validation routines. Or, how about printing to screen? Warn the developer about the mandatory use of the context aware output filtering method. This type of just-in-time guidance needs to be baked into their IDE, which is one of the OWASP O2 Platformís design objectives. &quot;Writing secure codeĒ using this approach would seem to be the future...&quot;</span></i><br clear="all">
<br>I think Jeremiah makes some great points on that analysis. I would be†interested†to know about the time that it took to fix issues that required complex resolutions (for example an UrlEncoding change, that once added to fix a vulnerability in entry point X, would also break the application in entry point W,Y and Z)</div>
<div><br></div><div>Dinis Cruz<br><br>Blog: <a href="http://diniscruz.blogspot.com">http://diniscruz.blogspot.com</a><br>Twitter: <a href="http://twitter.com/DinisCruz">http://twitter.com/DinisCruz</a><br>Web: <a href="http://www.owasp.org/index.php/O2">http://www.owasp.org/index.php/O2</a><br>

</div>