<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=utf-8"><meta name=Generator content="Microsoft Word 14 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
        {mso-style-priority:99;
        mso-style-link:"Balloon Text Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:8.0pt;
        font-family:"Tahoma","sans-serif";}
span.EmailStyle17
        {mso-style-type:personal-reply;
        font-family:"Arial","sans-serif";
        color:black;
        font-weight:normal;
        font-style:normal;}
span.BalloonTextChar
        {mso-style-name:"Balloon Text Char";
        mso-style-priority:99;
        mso-style-link:"Balloon Text";
        font-family:"Tahoma","sans-serif";}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri","sans-serif";}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-US link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Arial","sans-serif";color:black'>Hi Michael,<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Arial","sans-serif";color:black'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Arial","sans-serif";color:black'>Thank you for clarifying the role of the Governance list – I thought as much, but wanted to make sure there wasn't an expectation that action be taken by the list.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Arial","sans-serif";color:black'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Arial","sans-serif";color:black'>Yes, I can take the lead on the O-Open issue.  I've created a base document to get the conversation started and will create a separate thread for the discussion.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Arial","sans-serif";color:black'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Arial","sans-serif";color:black'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Arial","sans-serif";color:black'>- Bil<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Arial","sans-serif";color:black'><o:p> </o:p></span></p><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From:</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> Michael Coates [mailto:michael.coates@owasp.org] <br><b>Sent:</b> Wednesday, June 18, 2014 8:47 PM<br><b>To:</b> Bil Corry<br><b>Cc:</b> governance@lists.owasp.org; Martin Knobloch<br><b>Subject:</b> Re: [Governance] Fwd: [Owasp-leaders] My views on the OWASP SamanthaGate (10 points and ideas for OWASP)<o:p></o:p></span></p><p class=MsoNormal><o:p> </o:p></p><div><div><div><p class=MsoNormal>Bil,<br><br>To your first point on the compliant:<br>Correct. I cc'ed Martin on the email. I'm waiting for his response. <o:p></o:p></p></div><p class=MsoNormal style='margin-bottom:12.0pt'>I don't necessary think governance has a role to play. But if this were to be discussed anywhere, this would be the appropriate place.<o:p></o:p></p></div><p class=MsoNormal>On your second point - O-Open:<br>I think this is a great idea! I'm going to push back a bit though. We've got a great idea, now we need people that want to make it a reality. Is this something you want to lead and draw together other interested owasp'ers? I think governance list is a good spot to start (with an announcement on leaders for anyone to join over here if interested).<o:p></o:p></p><div><p class=MsoNormal><o:p> </o:p></p></div></div><div><p class=MsoNormal><br clear=all><o:p></o:p></p><div><div><p class=MsoNormal style='margin-bottom:12.0pt'><br>--<br>Michael Coates<br>@_mwc<o:p></o:p></p></div></div><p class=MsoNormal style='margin-bottom:12.0pt'><o:p> </o:p></p><div><p class=MsoNormal>On Wed, Jun 18, 2014 at 4:29 AM, Bil Corry <<a href="mailto:bil.corry@owasp.org" target="_blank">bil.corry@owasp.org</a>> wrote:<o:p></o:p></p><div><div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span style='font-size:11.0pt;font-family:"Arial","sans-serif";color:black'>Hi Michael,</span><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span style='font-size:11.0pt;font-family:"Arial","sans-serif";color:black'> </span><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span style='font-size:11.0pt;font-family:"Arial","sans-serif";color:black'>I believe the complaint should be delivered to the Compliance Officer to handle per the process.  What role do you see the Governance list playing in the complaint?</span><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span style='font-size:11.0pt;font-family:"Arial","sans-serif";color:black'> </span><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span style='font-size:11.0pt;font-family:"Arial","sans-serif";color:black'>On a more general level, I'll make the observation that there is a very wide gap in beliefs about just how transparent OWASP should be.  That gap shows up in a multitude of ways, such as the email from Denis that has spawned this complaint.</span><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span style='font-size:11.0pt;font-family:"Arial","sans-serif";color:black'> </span><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span style='font-size:11.0pt;font-family:"Arial","sans-serif";color:black'>I recommend organizing a committee to work out a specific, explicit policy on what is and is not "open."  This is a hotly contested area within OWASP and my guess is unless it's written down, some may wave the "O is for Open" banner when disclosing anything of their choosing.</span><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span style='font-size:11.0pt;font-family:"Arial","sans-serif";color:black'> </span><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span style='font-size:11.0pt;font-family:"Arial","sans-serif";color:black'> </span><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span style='font-size:11.0pt;font-family:"Arial","sans-serif";color:black'>- Bil</span><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span style='font-size:11.0pt;font-family:"Arial","sans-serif";color:black'> </span><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From:</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> <a href="mailto:governance-bounces@lists.owasp.org" target="_blank">governance-bounces@lists.owasp.org</a> [mailto:<a href="mailto:governance-bounces@lists.owasp.org" target="_blank">governance-bounces@lists.owasp.org</a>] <b>On Behalf Of </b>Michael Coates<br><b>Sent:</b> Tuesday, June 17, 2014 10:48 PM<br><b>To:</b> <a href="mailto:governance@lists.owasp.org" target="_blank">governance@lists.owasp.org</a>; Martin Knobloch<br><b>Subject:</b> [Governance] Fwd: [Owasp-leaders] My views on the OWASP SamanthaGate (10 points and ideas for OWASP)</span><o:p></o:p></p><div><div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'> <o:p></o:p></p><div><div><p class=MsoNormal style='mso-margin-top-alt:auto;margin-bottom:12.0pt'>Governance,<o:p></o:p></p></div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>I'm forwarding this to the governance list. I've already reached out to Dinis and optionally Yvan to begin a discussion. I'll also confer with Martin to determine if he is still available to assist.<br clear=all><o:p></o:p></p><div><div><div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'> <o:p></o:p></p><div><p class=MsoNormal style='mso-margin-top-alt:auto;margin-bottom:12.0pt'>--<br>Michael Coates<br>@_mwc<o:p></o:p></p></div></div><p class=MsoNormal style='mso-margin-top-alt:auto;margin-bottom:12.0pt'> <o:p></o:p></p><div><p class=MsoNormal style='mso-margin-top-alt:auto;margin-bottom:12.0pt'>---------- Forwarded message ----------<br>From: <b>Yvan Boily</b> <<a href="mailto:yvanboily@gmail.com" target="_blank">yvanboily@gmail.com</a>><br>Date: Tue, Jun 17, 2014 at 8:42 AM<br>Subject: Re: [Owasp-leaders] My views on the OWASP SamanthaGate (10 points and ideas for OWASP)<br>To: Dinis Cruz <<a href="mailto:dinis.cruz@owasp.org" target="_blank">dinis.cruz@owasp.org</a>><br>Cc: "<a href="mailto:owasp-leaders@lists.owasp.org" target="_blank">owasp-leaders@lists.owasp.org</a>" <<a href="mailto:owasp-leaders@lists.owasp.org" target="_blank">owasp-leaders@lists.owasp.org</a>><o:p></o:p></p><div><div><div><div><div><div><div><p class=MsoNormal style='mso-margin-top-alt:auto;margin-bottom:12.0pt'>In the last several days, and over the course of the last several months Dinis Cruz has posted messages that have taken an internal matter and made it a public embarrassment to OWASP.<o:p></o:p></p></div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>Since I know there are people on the sidelines reading I want to be clear:<o:p></o:p></p></div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>* There should be a proper investigation of the claims that Samantha has made<o:p></o:p></p></div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>* Regardless of the outcome of that investigation, the community should expect those responsible for misconduct or unlawful behaviour to be held accountable<o:p></o:p></p></div><p class=MsoNormal style='mso-margin-top-alt:auto;margin-bottom:12.0pt'>* We, as a community, should expect a strong statement from the board supporting inclusiveness and equality, and supporting this should be an expectation of everyone who opts to be a leader<o:p></o:p></p></div><div><p class=MsoNormal style='mso-margin-top-alt:auto;margin-bottom:12.0pt'>I am requesting that the board consider issuing a warning and/or a temporary ban on Dinis Cruz.  I am requesting a warning or temporary ban because I believe that Dinis was genuinely trying to help, and he has been a long standing member of the community advocating for positive change.  This request stems from a desire to illustrate that we will hold our members accountable for ethical violations and not out of any malice.<o:p></o:p></p></div><div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>In the last 48 hours Dinis has sent messages which violate the following items from the Code of ethics<br><br><b>1. Perform all professional activities and duties in accordance with all applicable laws and the highest ethical principles;</b><o:p></o:p></p></div><div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><b>3. Maintain appropriate confidentiality of proprietary or otherwise sensitive information encountered in the course of professional activities;<br></b>* Forwarding confidential information and defamatory messages to mailing list comprised of tens of thousands of people is not in accordance with ethical principles.<o:p></o:p></p></div><div><p class=MsoNormal style='mso-margin-top-alt:auto;margin-bottom:12.0pt'><br><b>6. Refrain from any activities which might constitute a conflict of interest or otherwise damage the reputation of employers, the information security profession, or the Association;<br>9. Not intentionally injure or impugn the professional reputation of practice of colleagues, clients, or employers;</b><o:p></o:p></p></div><div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>* The reputations of several board members have been publicly maligned, as has Samantha Groves.  Since the messages were sent in the sense of openness and in the message this is in response to, he claims to have had the desire to allow the opportunity to respond to the claims, that this was done intentionally.<o:p></o:p></p></div><div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>* This incident may have caused irreparable damage to the community.<o:p></o:p></p></div><div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><br><b>10. Treat everyone with respect and dignity;</b><o:p></o:p></p></div><div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'> <o:p></o:p></p></div><div><p class=MsoNormal style='mso-margin-top-alt:auto;margin-bottom:12.0pt'>* airing unproven allegations to the community undermines the dignity of long-time contributors<o:p></o:p></p></div><p class=MsoNormal style='mso-margin-top-alt:auto;margin-bottom:12.0pt'>The OWASP community is huge, and has garnered an impressive amount of influence.  If we fail to hold ourselves, the board, the staff, and each other accountable, then that influence will be squandered.<o:p></o:p></p></div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>Dinis - please accept my apologies for sending this email, but in my opinion it is a necessary action.<br><br>Regards,<br>Yvan Boily<o:p></o:p></p></div><p class=MsoNormal style='mso-margin-top-alt:auto;margin-bottom:12.0pt'><br>_______________________________________________<br>OWASP-Leaders mailing list<br><a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br><a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><o:p></o:p></p></div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'> <o:p></o:p></p></div></div></div></div></div></div></div></div><p class=MsoNormal><o:p> </o:p></p></div></div></body></html>