Hi Robert and WebSecurity!<br><br><div>Thanks for all the comments on the Security People vs Developers article. I've read a lot of interesting perspectives on this list and the blog post got 1200+ readers. Now we have to move forward.</div>
<div><br></div><div><meta charset="utf-8"><div style="border-collapse: collapse; font-family: arial, sans-serif; font-size: 13px; ">Therefore we have started up the Developer Outreach Initiative. You can read about my two proposed outreach projects here (and please comment!):</div>
<div style="border-collapse: collapse; font-family: arial, sans-serif; font-size: 13px; "><a href="http://appsandsecurity.blogspot.com/2011/02/developer-outreach-initiative.html" target="_blank" style="color: rgb(42, 93, 176); ">http://appsandsecurity.blogspot.com/2011/02/developer-outreach-initiative.html</a><br clear="all">
<br></div><div><font class="Apple-style-span" face="arial, sans-serif"><span class="Apple-style-span" style="border-collapse: collapse;">Abbreviated:</span></font></div><div><font class="Apple-style-span" face="arial, sans-serif"><span class="Apple-style-span" style="border-collapse: collapse;"><br>
</span></font></div><div><font class="Apple-style-span" face="arial, sans-serif"><div><span class="Apple-style-span" style="border-collapse: collapse;"><b>Proposed Solution  Security Itches</b></span></div><div><span class="Apple-style-span" style="border-collapse: collapse;">My first proposition is this: Instead of pushing coding guidelines and security tools onto developers I think we should start by asking them "What are your security itches?". Whatever we get back will be our starting point. Maybe we'll pick ten itches and publish good solutions.</span></div>
<div><span class="Apple-style-span" style="border-collapse: collapse;"> What if they have the *wrong* itches? Well, the goal of the outreach is 1) to find out what developers think, and 2) address their itches to build some well-needed credibility. Before we have credibility we cannot push coding guidelines. And if developers think SSL certs are their primary problem that *is* important.</span></div>
<div><span class="Apple-style-span" style="border-collapse: collapse;"><br></span></div><div><span class="Apple-style-span" style="border-collapse: collapse;"><b>Proposed Solution  Open Test Data</b></span></div><div><span class="Apple-style-span" style="border-collapse: collapse;">Security people tell developers to "do input validation". Input validation is no news to developers. The problem is defining the data model and testing the input validation. We can do something important here  building <a href="http://opentestdata.org">opentestdata.org</a>. I own the domain and dream about the following beautiful community effort:</span></div>
<div><span class="Apple-style-span" style="border-collapse: collapse;"> You go to the site and can either "submit test data" or "download test data". On the submission page you can anonymously enter a e.g. Portuguese postal address, an Indian human name, a Swedish postal/zip code ... or 100 SQL injection strings. The effort is almost zero.</span></div>
<div><span class="Apple-style-span" style="border-collapse: collapse;"> On the download page you choose your format and download in context. "We have European customers so we want European human names, postal addresses, and phone numbers". Developers will love it. And that's where we can start promoting security testing!</span></div>
<div style="border-collapse: collapse; "><br></div></font></div><div style="border-collapse: collapse; font-family: arial, sans-serif; font-size: 13px; "> Kind regards, John Wilander</div><div style="border-collapse: collapse; font-family: arial, sans-serif; font-size: 13px; ">
<br></div><div style="border-collapse: collapse; font-family: arial, sans-serif; font-size: 13px; "><br></div></div><div><div class="gmail_quote">2011/2/14  <span dir="ltr"><<a href="mailto:robert@webappsec.org">robert@webappsec.org</a>></span><br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">I saw this posted via twitter and thought it was worth mentioning here. While the example specifies owasp, I am not posting this link to slam<br>

them in particular. I think that the point applies to MANY folks in the security industry.<br>
<br>
Security Vs Developers<br>
<a href="http://appsandsecurity.blogspot.com/2011/02/security-people-vs-developers.html" target="_blank">http://appsandsecurity.blogspot.com/2011/02/security-people-vs-developers.html</a><br></blockquote></div><br>-- <br>
John Wilander, <a href="https://twitter.com/johnwilander" target="_blank">https://twitter.com/johnwilander</a><br>Chapter co-leader OWASP Sweden, <a href="http://owaspsweden.blogspot.com" target="_blank">http://owaspsweden.blogspot.com</a><div>
<a href="http://owaspsweden.blogspot.com" target="_blank"></a>Co-organizer Global Summit,<a href="http://www.owasp.org/index.php/Summit_2011" target="_blank">http://www.owasp.org/index.php/Summit_2011</a></div><div><a href="http://www.owasp.org/index.php/Summit_2011" target="_blank"></a>Conf Comm,<a href="http://www.owasp.org/index.php/Global_Conferences_Committee" target="_blank">http://www.owasp.org/index.php/Global_Conferences_Committee</a></div>
<br>
</div>