<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=utf-8"><meta name=Generator content="Microsoft Word 14 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
        {font-family:Consolas;
        panose-1:2 11 6 9 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
pre
        {mso-style-priority:99;
        mso-style-link:"HTML Preformatted Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:10.0pt;
        font-family:"Courier New";}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
        {mso-style-priority:99;
        mso-style-link:"Balloon Text Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:8.0pt;
        font-family:"Tahoma","sans-serif";}
span.HTMLPreformattedChar
        {mso-style-name:"HTML Preformatted Char";
        mso-style-priority:99;
        mso-style-link:"HTML Preformatted";
        font-family:Consolas;}
span.EmailStyle19
        {mso-style-type:personal-reply;
        font-family:"Arial","sans-serif";
        color:black;
        font-weight:normal;
        font-style:normal;}
span.BalloonTextChar
        {mso-style-name:"Balloon Text Char";
        mso-style-priority:99;
        mso-style-link:"Balloon Text";
        font-family:"Tahoma","sans-serif";}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri","sans-serif";}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-US link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Arial","sans-serif";color:black'>Hi Yvan,<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Arial","sans-serif";color:black'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Arial","sans-serif";color:black'>Agreed.  But not everyone feels this way, so it seems we need something very explicit.  I trust the BoD will have the policy reviewed by their legal counsel before adopting it.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Arial","sans-serif";color:black'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Arial","sans-serif";color:black'>- Bil<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Arial","sans-serif";color:black'><o:p> </o:p></span></p><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From:</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> Yvan Boily [mailto:yvanboily@gmail.com] <br><b>Sent:</b> Wednesday, June 18, 2014 11:43 PM<br><b>To:</b> governance@lists.owasp.org; bil.corry@owasp.org<br><b>Subject:</b> [Governance] Fwd: [Owasp-leaders] My views on the OWASP SamanthaGate (10 points and ideas for OWASP)<o:p></o:p></span></p><p class=MsoNormal><o:p> </o:p></p><div><pre><o:p> </o:p></pre><pre style='margin-bottom:12.0pt'>While I feel that a group of volunteers may have something to offer in terms of transparency, those recommendations should be reviewed by a lawyer.<o:p></o:p></pre><pre>The bottom line is that while transparency is an important goal, and a healthy ideal for OWASP to pursue, the issues that Dinis brought to the table were not appropriate for community discussion since they were directly related to a legal complaint, and contained allegations that (if proven incorrect) constitute defamation, which carries fairly stiff penalties.<br><br><o:p></o:p></pre><pre><o:p> </o:p></pre><pre>My main concern here is finding the appropriate balance, and broadcasting allegations via email does not serve transparency any more than teaching the controversy between anti-vaxxers / vaxxers advances health care, or scientists vs. young earth creationists advances the study of geology.<br><br><o:p></o:p></pre><pre><o:p> </o:p></pre><pre style='margin-bottom:12.0pt'>Claiming "but transparency!" should not be a shield that protects people from being held accountable for their actions.<o:p></o:p></pre><pre>Regards,<br>Yvan<o:p></o:p></pre><pre><br>----<br>Bil,<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>To your first point on the compliant:<o:p></o:p></pre><pre>Correct. I cc'ed Martin on the email. I'm waiting for his response.<o:p></o:p></pre><pre>I don't necessary think governance has a role to play. But if this were to<o:p></o:p></pre><pre>be discussed anywhere, this would be the appropriate place.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>On your second point - O-Open:<o:p></o:p></pre><pre>I think this is a great idea! I'm going to push back a bit though. We've<o:p></o:p></pre><pre>got a great idea, now we need people that want to make it a reality. Is<o:p></o:p></pre><pre>this something you want to lead and draw together other interested<o:p></o:p></pre><pre>owasp'ers? I think governance list is a good spot to start (with an<o:p></o:p></pre><pre>announcement on leaders for anyone to join over here if interested).<o:p></o:p></pre><pre><o:p> </o:p></pre><pre><o:p> </o:p></pre><pre><o:p> </o:p></pre><pre>--<o:p></o:p></pre><pre>Michael Coates<o:p></o:p></pre><pre>@_mwc<o:p></o:p></pre><pre><o:p> </o:p></pre><pre><o:p> </o:p></pre><pre><o:p> </o:p></pre><pre>On Wed, Jun 18, 2014 at 4:29 AM, Bil Corry <<a href="https://lists.owasp.org/mailman/listinfo/governance">bil.corry at owasp.org</a>> wrote:<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>><i> Hi Michael,<o:p></o:p></i></pre><pre>><i><o:p> </o:p></i></pre><pre>><i><o:p> </o:p></i></pre><pre>><i><o:p> </o:p></i></pre><pre>><i> I believe the complaint should be delivered to the Compliance Officer to<o:p></o:p></i></pre><pre>><i> handle per the process.  What role do you see the Governance list playing<o:p></o:p></i></pre><pre>><i> in the complaint?<o:p></o:p></i></pre><pre>><i><o:p> </o:p></i></pre><pre>><i><o:p> </o:p></i></pre><pre>><i><o:p> </o:p></i></pre><pre>><i> On a more general level, I'll make the observation that there is a very<o:p></o:p></i></pre><pre>><i> wide gap in beliefs about just how transparent OWASP should be.  That gap<o:p></o:p></i></pre><pre>><i> shows up in a multitude of ways, such as the email from Denis that has<o:p></o:p></i></pre><pre>><i> spawned this complaint.<o:p></o:p></i></pre><pre>><i><o:p> </o:p></i></pre><pre>><i><o:p> </o:p></i></pre><pre>><i><o:p> </o:p></i></pre><pre>><i> I recommend organizing a committee to work out a specific, explicit policy<o:p></o:p></i></pre><pre>><i> on what is and is not "open."  This is a hotly contested area within OWASP<o:p></o:p></i></pre><pre>><i> and my guess is unless it's written down, some may wave the "O is for Open"<o:p></o:p></i></pre><pre>><i> banner when disclosing anything of their choosing.<o:p></o:p></i></pre><pre>><i><o:p> </o:p></i></pre><pre>><i><o:p> </o:p></i></pre><pre>><i><o:p> </o:p></i></pre><pre>><i><o:p> </o:p></i></pre><pre>><i><o:p> </o:p></i></pre><pre>><i> - Bil<o:p></o:p></i></pre><pre>><i><o:p> </o:p></i></pre><pre>><i><o:p> </o:p></i></pre><pre>><i><o:p> </o:p></i></pre><pre>><i> *From:* <a href="https://lists.owasp.org/mailman/listinfo/governance">governance-bounces at lists.owasp.org</a> [mailto:<o:p></o:p></i></pre><pre>><i> <a href="https://lists.owasp.org/mailman/listinfo/governance">governance-bounces at lists.owasp.org</a>] *On Behalf Of *Michael Coates<o:p></o:p></i></pre><pre>><i> *Sent:* Tuesday, June 17, 2014 10:48 PM<o:p></o:p></i></pre><pre>><i> *To:* <a href="https://lists.owasp.org/mailman/listinfo/governance">governance at lists.owasp.org</a>; Martin Knobloch<o:p></o:p></i></pre><pre>><i> *Subject:* [Governance] Fwd: [Owasp-leaders] My views on the OWASP<o:p></o:p></i></pre><pre>><i> SamanthaGate (10 points and ideas for OWASP)<o:p></o:p></i></pre><pre>><i><o:p> </o:p></i></pre><pre>><i><o:p> </o:p></i></pre><pre>><i><o:p> </o:p></i></pre><pre>><i> Governance,<o:p></o:p></i></pre><pre>><i><o:p> </o:p></i></pre><pre>><i> I'm forwarding this to the governance list. I've already reached out to<o:p></o:p></i></pre><pre>><i> Dinis and optionally Yvan to begin a discussion. I'll also confer with<o:p></o:p></i></pre><pre>><i> Martin to determine if he is still available to assist.<o:p></o:p></i></pre><pre>><i><o:p> </o:p></i></pre><pre>><i><o:p> </o:p></i></pre><pre>><i><o:p> </o:p></i></pre><pre>><i> --<o:p></o:p></i></pre><pre>><i> Michael Coates<o:p></o:p></i></pre><pre>><i> @_mwc<o:p></o:p></i></pre><pre>><i><o:p> </o:p></i></pre><pre>><i><o:p> </o:p></i></pre><pre>><i><o:p> </o:p></i></pre><pre>><i> ---------- Forwarded message ----------<o:p></o:p></i></pre><pre>><i> From: *Yvan Boily* <<a href="https://lists.owasp.org/mailman/listinfo/governance">yvanboily at gmail.com</a>><o:p></o:p></i></pre><pre>><i> Date: Tue, Jun 17, 2014 at 8:42 AM<o:p></o:p></i></pre><pre>><i> Subject: Re: [Owasp-leaders] My views on the OWASP SamanthaGate (10 points<o:p></o:p></i></pre><pre>><i> and ideas for OWASP)<o:p></o:p></i></pre><pre>><i> To: Dinis Cruz <<a href="https://lists.owasp.org/mailman/listinfo/governance">dinis.cruz at owasp.org</a>><o:p></o:p></i></pre><pre>><i> Cc: "<a href="https://lists.owasp.org/mailman/listinfo/governance">owasp-leaders at lists.owasp.org</a>" <<a href="https://lists.owasp.org/mailman/listinfo/governance">owasp-leaders at lists.owasp.org</a>><o:p></o:p></i></pre><pre>><i><o:p> </o:p></i></pre><pre>><i> In the last several days, and over the course of the last several months<o:p></o:p></i></pre><pre>><i> Dinis Cruz has posted messages that have taken an internal matter and made<o:p></o:p></i></pre><pre>><i> it a public embarrassment to OWASP.<o:p></o:p></i></pre><pre>><i><o:p> </o:p></i></pre><pre>><i> Since I know there are people on the sidelines reading I want to be clear:<o:p></o:p></i></pre><pre>><i><o:p> </o:p></i></pre><pre>><i> * There should be a proper investigation of the claims that Samantha has<o:p></o:p></i></pre><pre>><i> made<o:p></o:p></i></pre><pre>><i><o:p> </o:p></i></pre><pre>><i> * Regardless of the outcome of that investigation, the community should<o:p></o:p></i></pre><pre>><i> expect those responsible for misconduct or unlawful behaviour to be held<o:p></o:p></i></pre><pre>><i> accountable<o:p></o:p></i></pre><pre>><i><o:p> </o:p></i></pre><pre>><i> * We, as a community, should expect a strong statement from the board<o:p></o:p></i></pre><pre>><i> supporting inclusiveness and equality, and supporting this should be an<o:p></o:p></i></pre><pre>><i> expectation of everyone who opts to be a leader<o:p></o:p></i></pre><pre>><i><o:p> </o:p></i></pre><pre>><i> I am requesting that the board consider issuing a warning and/or a<o:p></o:p></i></pre><pre>><i> temporary ban on Dinis Cruz.  I am requesting a warning or temporary ban<o:p></o:p></i></pre><pre>><i> because I believe that Dinis was genuinely trying to help, and he has been<o:p></o:p></i></pre><pre>><i> a long standing member of the community advocating for positive change.<o:p></o:p></i></pre><pre>><i> This request stems from a desire to illustrate that we will hold our<o:p></o:p></i></pre><pre>><i> members accountable for ethical violations and not out of any malice.<o:p></o:p></i></pre><pre>><i><o:p> </o:p></i></pre><pre>><i> In the last 48 hours Dinis has sent messages which violate the following<o:p></o:p></i></pre><pre>><i> items from the Code of ethics<o:p></o:p></i></pre><pre>><i><o:p> </o:p></i></pre><pre>><i> *1. Perform all professional activities and duties in accordance with all<o:p></o:p></i></pre><pre>><i> applicable laws and the highest ethical principles;*<o:p></o:p></i></pre><pre>><i><o:p> </o:p></i></pre><pre>><i><o:p> </o:p></i></pre><pre>><i> *3. Maintain appropriate confidentiality of proprietary or otherwise<o:p></o:p></i></pre><pre>><i> sensitive information encountered in the course of professional activities;**<o:p></o:p></i></pre><pre>><i> Forwarding confidential information and defamatory messages to mailing list<o:p></o:p></i></pre><pre>><i> comprised of tens of thousands of people is not in accordance with ethical<o:p></o:p></i></pre><pre>><i> principles.<o:p></o:p></i></pre><pre>><i><o:p> </o:p></i></pre><pre>><i><o:p> </o:p></i></pre><pre>><i><o:p> </o:p></i></pre><pre>><i> *6. Refrain from any activities which might constitute a conflict of<o:p></o:p></i></pre><pre>><i> interest or otherwise damage the reputation of employers, the information<o:p></o:p></i></pre><pre>><i> security profession, or the Association;9. Not intentionally injure or<o:p></o:p></i></pre><pre>><i> impugn the professional reputation of practice of colleagues, clients, or<o:p></o:p></i></pre><pre>><i> employers;*<o:p></o:p></i></pre><pre>><i><o:p> </o:p></i></pre><pre>><i> * The reputations of several board members have been publicly maligned, as<o:p></o:p></i></pre><pre>><i> has Samantha Groves.  Since the messages were sent in the sense of openness<o:p></o:p></i></pre><pre>><i> and in the message this is in response to, he claims to have had the desire<o:p></o:p></i></pre><pre>><i> to allow the opportunity to respond to the claims, that this was done<o:p></o:p></i></pre><pre>><i> intentionally.<o:p></o:p></i></pre><pre>><i><o:p> </o:p></i></pre><pre>><i> * This incident may have caused irreparable damage to the community.<o:p></o:p></i></pre><pre>><i><o:p> </o:p></i></pre><pre>><i><o:p> </o:p></i></pre><pre>><i> *10. Treat everyone with respect and dignity;*<o:p></o:p></i></pre><pre>><i><o:p> </o:p></i></pre><pre>><i><o:p> </o:p></i></pre><pre>><i><o:p> </o:p></i></pre><pre>><i> * airing unproven allegations to the community undermines the dignity of<o:p></o:p></i></pre><pre>><i> long-time contributors<o:p></o:p></i></pre><pre>><i><o:p> </o:p></i></pre><pre>><i> The OWASP community is huge, and has garnered an impressive amount of<o:p></o:p></i></pre><pre>><i> influence.  If we fail to hold ourselves, the board, the staff, and each<o:p></o:p></i></pre><pre>><i> other accountable, then that influence will be squandered.<o:p></o:p></i></pre><pre>><i><o:p> </o:p></i></pre><pre>><i> Dinis - please accept my apologies for sending this email, but in my<o:p></o:p></i></pre><pre>><i> opinion it is a necessary action.<o:p></o:p></i></pre><pre>><i><o:p> </o:p></i></pre><pre>><i> Regards,<o:p></o:p></i></pre><pre>><i> Yvan Boily<o:p></o:p></i></pre><pre>><i><o:p> </o:p></i></pre><pre>><i><o:p> </o:p></i></pre><pre>><i> _______________________________________________<o:p></o:p></i></pre><pre>><i> OWASP-Leaders mailing list<o:p></o:p></i></pre><pre>><i> <a href="https://lists.owasp.org/mailman/listinfo/governance">OWASP-Leaders at lists.owasp.org</a><o:p></o:p></i></pre><pre>><i> <a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><o:p></o:p></i></pre><pre>><i><o:p> </o:p></i></pre><pre>><i><o:p> </o:p></i></pre><pre>><i><o:p> </o:p></i></pre><pre>-------------- next part --------------<o:p></o:p></pre><pre>An HTML attachment was scrubbed...<o:p></o:p></pre><pre>URL: <<a href="http://lists.owasp.org/pipermail/governance/attachments/20140618/92c6b261/attachment-0001.html">http://lists.owasp.org/pipermail/governance/attachments/20140618/92c6b261/attachment-0001.html</a>><o:p></o:p></pre></div></div></body></html>