<div dir="ltr">I'm a little late to the party here, but as far as I am concerned - neither Kevin nor Myself is eligible to collect a bounty. It would be a pointless exercise and an abuse of funds to do so. <div><br></div><div>Thanks Kevin and Fabio for driving this forward - I look forward to seeing the contributions we get back (hopefully!) </div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Jan 28, 2015 at 10:13 PM, Kevin W. Wall <span dir="ltr"><<a href="mailto:kevin.w.wall@gmail.com" target="_blank">kevin.w.wall@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Wed, Jan 28, 2015 at 7:46 AM, Magno Logan <<a href="mailto:magno.logan@owasp.org">magno.logan@owasp.org</a>> wrote:<br>
> Hi there,<br>
> I have to agree with Jim on this one. I see no relevant point to limit the<br>
> amount of users that can try and get the bounty. No one at OWASP has<br>
> privileged information, everything is open and I think so should be the<br>
> bounty. Why me as an OWASP leader wouldn't be eligible to get the bounty?<br>
> That would, as Jim said, limit the amount of people that would be allowed to<br>
> do it and evidently lead to a delay in the completion of this issue.<br>
</span>Mango and Jim,<br>
First, thank you both for openly sharing your dissenting views in a<br>
civil manner.<br>
That's one of the things that I really like about the OWASP community. However,<br>
I think there is some misunderstanding here. I was not proposing that<br>
either of you,<br>
as OWASP leaders should not be eligible for the ESAPI Bountysource bounties.<br>
Nor do I believe that my proposal will significantly reduce the number of<br>
potential participants.<br>
What I am advocating was that the *ESAPI* project leaders (which would be<br>
myself and Chris Schmidt) not be eligible to receive the bounties.<br>
Fabio also suggested and I concur, that the OWASP *global* board also be<br>
But perhaps more important than understanding _what_ I was advocating is<br>
understanding _why_ I was suggesting this.<br>
One vital piece of information that everyone may be missing--at least<br>
in the specific case of these ESAPI bounties--is that I am set up as<br>
the sole approver of awarding these bounties. Not only am I responsible for<br>
determining which submission is the best, but I am also responsible<br>
for determining which bugs get awarded some fixed amount of dollars.<br>
(Note: I'd prefer something more like a vote by small committee to<br>
do these things, but short story, that's just not the way things worked<br>
themselves out. If someone else wishes to help run / judge this, drop<br>
me an email off-list.)<br>
I know that most of us on this list want OWASP to remain above reproach.<br>
Since we are a non-profit, reputation is one of the very few things that<br>
are really important to us all.<br>
So, what would happen if a OWASP project leader who also<br>
happened to approve bounties cherry picked some bugs<br>
that maybe he or she was already working on or required such<br>
expertise that only s/he could complete it. Then that person submits<br>
their own bug fix and maybe after waiting awhile for other<br>
submissions, approves their own fix for the bounty.<br>
Do you really think that wouldn't raise some eyebrows, not<br>
only within the OWASP community, but outside of it as well?<br>
Note that I am *NOT* trying to say that any specific OWASP project<br>
leaders would actually think of enriching themselves in<br>
such a manner, but why open things up to temptation? At the VERY<br>
LEAST I think we need to exclude anyone who approves the<br>
bounties from participating in THOSE bounties. That is,<br>
avoid even the *appearance* of any conflict of interest. Is<br>
this not what we expect om how non-profits should operate?<br>
Knowing how much we all care about protecting the OWASP brand<br>
and OWASP's reputation, I went back and rethought this through<br>
and realized that perhaps most of you didn't realize that it was<br>
me who was approving the ESAPI Bountysource bounties. (If<br>
it had been Fabio instead who had this responsibility, perhaps<br>
that would be different.) But I just think it is a bad idea<br>
if we allow OWASP members to be put into a situation where they<br>
are tempted to compromise and thus tarnish OWASP's reputation.<br>
This is at the essence of why we have separation of duties.<br>
If we compromise here, do we allow people to approve their own<br>
OWASP related expense vouchers? Where would it all end. IMO,<br>
best to stay away from that slippery slope altogether.<br>
I am not suggesting that Mango, as project leader of some other<br>
OWASP project, should be ineligible for the ESAPI Bountysource<br>
bounties. But if you were in the position that I find myself in, it would<br>
would hardly surprise me if you also chose to recuse yourself<br>
from being eligible for any bounties that you administer.<br>
And unless there are a lot of project leaders on a given OWASP<br>
project, what I have proposed does not significantly reduce the<br>
number of people eligible to collect the bounties.<br>
So I hope this explanation puts this discussion to bed and the<br>
discussion can turn more toward answering questions about<br>
the two issues for which bounties are being offered.<br>
Best regards,<br>
<span class="im HOEnZb">--<br>
Blog: <a href="http://off-the-wall-security.blogspot.com/" target="_blank">http://off-the-wall-security.blogspot.com/</a><br>
NSA: All your crypto bit are belong to us.<br>
</span><div class="HOEnZb"><div class="h5">Esapi-user mailing list<br>
<a href="mailto:Esapi-user@lists.owasp.org">Esapi-user@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/esapi-user" target="_blank">https://lists.owasp.org/mailman/listinfo/esapi-user</a><br>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature">Chris Schmidt<br><br>OWASP ESAPI Developer<br><a href="http://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API">http://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API</a><br><br>Check out OWASP ESAPI for Java<br><a href="http://code.google.com/p/owasp-esapi-java/">http://code.google.com/p/owasp-esapi-java/</a><br><br>OWASP ESAPI for JavaScript<br><a href="http://code.google.com/p/owasp-esapi-js/">http://code.google.com/p/owasp-esapi-js/</a><br><br>Yet Another Developers Blog<br><a href="http://yet-another-dev.blogspot.com">http://yet-another-dev.blogspot.com</a><br><br>Bio and Resume<br><a href="http://www.digital-ritual.net/resume.html">http://www.digital-ritual.net/resume.html</a><br></div>