<meta http-equiv="content-type" content="text/html; charset=utf-8">BTW, this is why some open source projects require copyright assignment.  Its solves the many contributors problem.  I&#39;m not saying that&#39;s good or bad but if a project expects or wants the option to change licensing in the future, that&#39;s one method to get there. However, some developers won&#39;t sign copyright assignments and keeping track of whose signed and not adds a ton of overhead for contributions.<div>
<br></div><div>OWASP doesn&#39;t require copyright assignment but if a project wants to assign copyright to the Foundation, we won&#39;t say no.  Keith Turpin did this for his project and Boeing assigned copyright to OWASP Foundation for the Secure Coding Practices Quick Reference Guide.</div>
<div><br></div><div>Licensing can get tricky and if any project needs advice on open source licensing, I&#39;ve pointed them at the Software Freedom Law Center.<br><div>   <a href="http://www.softwarefreedom.org/">http://www.softwarefreedom.org/</a></div>
<div>They will provide advice on licensing issues (free for Open Source projects) but as they are in the US, the advice is generally US centric.</div><div><br></div><div>HTH.</div></div><div><br></div>--<br>-- Matt Tesauro<br>
OWASP Board Member<br>OWASP WTE Project Lead<br><a href="http://www.owasp.org/index.php/Category:OWASP_Live_CD_Project" target="_blank">http://www.owasp.org/index.php/Category:OWASP_Live_CD_Project</a><br><a href="http://AppSecLive.org" target="_blank">http://AppSecLive.org</a> - Community and Download site<br>

<br><br><div class="gmail_quote">On Wed, Mar 30, 2011 at 2:34 PM, Jason Li <span dir="ltr">&lt;<a href="http://jason.li">jason.li</a>@<a href="http://owasp.org">owasp.org</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
This is a very tricky question with legal implications and I am not a lawyer. There was a discussion at the Summit and some ongoing GPC work regarding licensing issues for OWASP Projects.<div><br></div><div>I believe the high level overview is that if the leader is the only person that has ever contributed to a project, then they have the legal right to change the license for future revisions/releases of the project (previous releases could use the new license as well, but would still be simultaneously licensed under the old license in perpetuity). However, if there have been multiple contributors to the project, then each contributor would have be contacted and would have to assent to the change in licensing.</div>


<div><br></div><div>Looking at the the ModSecurity CRS project details tab, there&#39;s only 3 contributors listed (I don&#39;t know if others have committed to the source tree and are uncredited?). If it&#39;s only the three of you, I imagine that it would be pretty simple to obtain consent from your fellow contributors to change the license moving forward.</div>


<div><br></div><div>You can imagine it would be a lot more complicated for a project like the OWASP Top 10 or Webgoat which have scores of contributors... We&#39;ve been working on potential policy guidance for projects and the implications so that we can help projects avoid exactly these types of situations by thinking about licensing early on in the project&#39;s life (when it&#39;s much easier to manage contributors).</div>


<div><br></div><div>But in your case, I believe making the change for future releases would be fairly straightforward.</div><div><br></div><div>-Jason</div><div><br><div class="gmail_quote"><div><div></div><div class="h5">
On Wed, Mar 30, 2011 at 3:11 PM, Paulo Coimbra <span dir="ltr">&lt;<a href="mailto:paulo.coimbra@owasp.org" target="_blank">paulo.coimbra@owasp.org</a>&gt;</span> wrote:<br>

</div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div></div><div class="h5"><div lang="EN-GB" link="blue" vlink="purple" style="word-wrap:break-word">
<div><p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D">Ryan,</span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D"> </span></p><p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D">As far as I know this is the first time that an OWASP project leader raises this question. I guess there is no problem but I am carbon copying our Global Projects Committee for us to see whether they have any other input. I thank you for consulting with us.</span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D"> </span></p><p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D">Please keep up the good work,  </span></p><p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D"> </span></p>


<div><p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D">Thanks,</span></p><p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D">- Paulo</span></p><p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D"> </span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D"> </span></p><p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D">Paulo Coimbra,</span></p><p class="MsoNormal"><span lang="PT" style="font-size:11.0pt;color:#1F497D"><a href="http://www.owasp.org/index.php/User:Paulo_Coimbra" target="_blank"><span lang="EN-GB">OWASP Project Manager</span></a></span><span style="font-size:11.0pt;color:#1F497D"></span></p>


</div><p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D"> </span></p><div style="border:none;border-left:solid blue 1.5pt;padding:0cm 0cm 0cm 4.0pt"><div><div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm">


<p class="MsoNormal"><b><span lang="EN-US" style="font-size:10.0pt">From:</span></b><span lang="EN-US" style="font-size:10.0pt"> Ryan Barnett [mailto:<a href="mailto:ryan.barnett@owasp.org" target="_blank">ryan.barnett@owasp.org</a>] <br>


<b>Sent:</b> quarta-feira, 30 de Março de 2011 20:03<br><b>To:</b> <a href="mailto:paulo.coimbra@owasp.org" target="_blank">paulo.coimbra@owasp.org</a><br><b>Subject:</b> Changing the OWASP ModSecurity CRS Licensing</span></p>


</div></div><p class="MsoNormal"> </p><div><p class="MsoNormal"><span style="font-size:8.5pt;color:black">Hey Paulo,</span></p></div><div><p class="MsoNormal"><span style="font-size:8.5pt;color:black">I have a question for you with regards to the OWASP ModSecurity CRS Project – we want to change the licensing from GPLv2 to Apache Software License v2 (ASLv2).  Are there any official processes that I need to do or can I simply make this change as the project leader?</span></p>


</div><div><p class="MsoNormal"><span style="font-size:8.5pt;color:black"> </span></p></div><div><p class="MsoNormal"><span style="font-size:8.5pt;color:black">Please advise.</span></p></div><div><p class="MsoNormal"><span style="font-size:8.5pt;color:black">Ryan</span></p>


</div></div></div></div><br></div></div>_______________________________________________<br>
Global-projects-committee mailing list<br>
<a href="mailto:Global-projects-committee@lists.owasp.org" target="_blank">Global-projects-committee@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/global-projects-committee" target="_blank">https://lists.owasp.org/mailman/listinfo/global-projects-committee</a><br>
<br></blockquote></div><br></div>
<br>_______________________________________________<br>
Global-projects-committee mailing list<br>
<a href="mailto:Global-projects-committee@lists.owasp.org">Global-projects-committee@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/global-projects-committee" target="_blank">https://lists.owasp.org/mailman/listinfo/global-projects-committee</a><br>
<br></blockquote></div><br>