<p dir="ltr">Christian,</p>
<p dir="ltr">I asked you to expand on the perceived benefits of your proposal.  I actually thought you had an interesting idea and wanted to hear more.  Now that I've heard your response, however, I think its safe to say I won't make that same mistake again.</p>

<p dir="ltr">As for not outsourcing unless there is a cost savings or SLA increase, the other scenario for outsourcing is when an area is not your core competency and you want to leverage the knowledge and experience of others over your own.  Such is the case with this proposal. </p>

<p dir="ltr">And, lastly, in regards to your references to the Google Hacking Inquiry, it was removed earlier this year to allow both parties to move on.  Your continued membership suspension, however, is due to a history of repeated disrespectful behavior similar to that displayed in this email thread.  You are firmly in control of your own dignity and reputation, Christian, and you reap what you sow.  Still, I wish you all the best.</p>

<p dir="ltr">~josh</p>
<div class="gmail_quote">On Jun 19, 2014 5:08 AM, "Christian Heinrich" <<a href="mailto:christian.heinrich@cmlh.id.au">christian.heinrich@cmlh.id.au</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="ltr">Michael,<div><br></div><div>Perhaps if Josh was blase and dismissive of my valid opinion then perhaps I would have treated him with respect in return?</div><div><br></div><div>You do not outsource unless there is a cost saving and/or an increase in the SLA and I do not see that business case put to the OWASP Membership.</div>

<div><br></div><div>If you revoke my e-mail address I will forward Samantha e-mail to the owasp-all mailing list in addition to a number of mailing lists dedicated to OWASP Chapters and Projects in addition to the contacts at key OWASP financial sponsors.   <br>

</div><div><br></div><div><a href="https://www.owasp.org/index.php/OWASP_Inquiries/Google_Hacking_Project" target="_blank">https://www.owasp.org/index.php/OWASP_Inquiries/Google_Hacking_Project</a> has shown that OWASP is guilable it is to the false claims of fake identities.</div>

<div><br></div><div>I personally would not be a member of OWASP after OWASP has tried and failed to deliberately seek me out as a member.</div><div><br></div><div>Here's a hint, don't smear people further with a suspension after they have been proven beyond a reasonable doubt to be innocent.  For the record, I had no intention to ever returning to OWASP at the conclusion of <a href="https://www.owasp.org/index.php/OWASP_Inquiries/Google_Hacking_Project" target="_blank">https://www.owasp.org/index.php/OWASP_Inquiries/Google_Hacking_Project</a> </div>

<div><br></div><div><div>Why don't you fix my problem i.e. <a href="https://www.owasp.org/index.php/OWASP_Inquiries/Google_Hacking_Project" target="_blank">https://www.owasp.org/index.php/OWASP_Inquiries/Google_Hacking_Project</a> so I can resign from OWASP with dignity and restore my former reputation that Dinis Cruz went out of his way to damage?</div>

</div><div><br></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, Jun 19, 2014 at 3:59 PM, Michael Coates <span dir="ltr"><<a href="mailto:michael.coates@owasp.org" target="_blank">michael.coates@owasp.org</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div>These comments are not appropriate, are against our code of ethics and should not continue. While you may be weaving valid points of discussion into your email that is not an excuse to make comments the way you do here or in other threads that we've recently seen.<br>


<br></div>I will move further conversation off list as no one wants to see an email trail. On governance I will ask for the blocking off this email address.<br></div><div class="gmail_extra"><br clear="all"><div><div dir="ltr">


<br>--<br>Michael Coates<br>@_mwc<br><br></div></div><div><div>
<br><br><div class="gmail_quote">On Wed, Jun 18, 2014 at 10:18 PM, Christian Heinrich <span dir="ltr"><<a href="mailto:christian.heinrich@cmlh.id.au" target="_blank">christian.heinrich@cmlh.id.au</a>></span> wrote:<br>


<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Josh,<br><br>Based on the ongoing political circle jerk between Dennis, Samantha, Sarah, Jim, you (Josh), Yvan, Michael, Eoin, etc I believe that an independent view that may oppose the intent of Sarah vs OWASP Board is in the best interests of OWASP.<br>



<br>If the OWASP Board are not intending to appoint an interim Executive Director until a suitable candidate is found or promoted and there is no cost saving in outsourcing these functions then <b>the OWASP Board are attempting to cease complete control again</b> to return to the days of Aspect Security, Trustwave, the ongoing Jeff Williams and Dinis Cruz homoerotic relationship which drove members of the community from OWASP i.e. <a href="http://lists.owasp.org/pipermail/owasp-board/2011-January/009563.html" target="_blank">http://lists.owasp.org/pipermail/owasp-board/2011-January/009563.html</a><br>



<br>Stephanie Fohn has an extensive business leadership background without the webappsec conflict of interest, such as a patent or product, since she is no longer employed by <a href="http://blog.whitehatsec.com/iceo/" target="_blank">http://blog.whitehatsec.com/iceo/</a><br>



<br>Since WhiteHat Security are more aligned with WASC then OWASP and therefore Stephanie would provide an independent auditor's view of what Sarah and the Board believe OWASP wants vs needs.<br><br>I also heard from two WhiteHat Security employees that she resisted the appointment of Tom Brennan to WhiteHat Security while Sarah Baso has "spread her legs" for him based on the fact that Jim Manico was upset with "Teflon Tommy" due to his "crush" on Sarah Baso i.e. <a href="http://lists.owasp.org/pipermail/owasp-leaders/2014-June/012017.html" target="_blank">http://lists.owasp.org/pipermail/owasp-leaders/2014-June/012017.html</a>, ensuring that the better man i.e. "Adam Baso" was listed as a contributor to the OWASP Top Ten 2013, etc.<br>



<br>For the record, I dislike OWASP, Jermiah Grossman and WhiteHat Security but it doesn't dispute the fact that my recommendation is driven by <b>Stephanie Fohn has an extensive business leadership background without the associated webappsec conflict of interest</b>, such as a patent or product.  Therefore her [possible] appointment is in the best interest of OWASP due to the recent political climate of "when push comes to shove".<div>



<br></div><div>If her final independent (of the OWASP Board) recommendation is to outsource to Virtual Management Inc and this does not result in the OWASP Board having more "unchecked "power and yields significant OPEX and CAPEX saving with a higher SLA then what OWASP has today then no one should have any further issues.</div>



<div><br></div><div>Since my own agenda is to watch OWASP "burn" due to <a href="https://www.owasp.org/index.php/OWASP_Inquiries/Google_Hacking_Project" target="_blank">https://www.owasp.org/index.php/OWASP_Inquiries/Google_Hacking_Project</a> then I will support the outsourcing to Virtual Management Inc so that more people leave OWASP for other webappsec groups e.g. SAFECode, WASC, etc as the absolute power of the OWASP Board corrupts absolutely.</div>



<div>   </div></div><div><div><div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, Jun 19, 2014 at 1:52 PM, Josh Sokol <span dir="ltr"><<a href="mailto:josh.sokol@owasp.org" target="_blank">josh.sokol@owasp.org</a>></span> wrote:<br>



<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><p dir="ltr">Christian, </p>
<p dir="ltr">I suppose we could do that.  Mind expanding on the perceived benefits in doing so?  I'm thinking that between Sarah and the Board we have a far better handle on what we need than Stephanie would.</p>
<p dir="ltr">This would have absolutely nothing to do with cost savings.  Its a strategic decision that we need to make based on Sarah's pending resignation.</p><span><font color="#888888">
<p dir="ltr">~josh</p></font></span><div><div>
<div class="gmail_quote">On Jun 18, 2014 5:52 PM, "Christian Heinrich" <<a href="mailto:christian.heinrich@cmlh.id.au" target="_blank">christian.heinrich@cmlh.id.au</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">




Josh,<br>
<br>
Can you hire <a href="http://www.linkedin.com/pub/stephanie-fohn/0/49/80a" target="_blank">http://www.linkedin.com/pub/stephanie-fohn/0/49/80a</a> or<br>
someone else with similar experience in business itself (not just<br>
webappsec) to consult on what to do about the Executive Director?<br>
<br>
Also what are the cost savings (both CAPEX and OPEX) and associated<br>
SLA in outsourcing to Virtual Management Inc, etc?<br>
<br>
<br>
On Thu, Jun 19, 2014 at 8:41 AM, Josh Sokol <<a href="mailto:josh.sokol@owasp.org" target="_blank">josh.sokol@owasp.org</a>> wrote:<br>
> That, in all honesty, was my first impression as well.  But then I started<br>
> thinking about OWASP as a company with finances, hr, operations, and other<br>
> concerns.  For most of us here, InfoSec is our core competency and not those<br>
> things.  We've made due with our Whistleblower Policies and Employee<br>
> Handbooks, but we owe it to all of our stakeholders to take a more<br>
> professional approach here and elsewhere in our business.  I'd much rather<br>
> see the Board and volunteers focus on our mission of AppSec and leave that<br>
> other stuff to their respective professionals.  That said, I'm very<br>
> interested in seeing where your head is at once you've had an opportunity to<br>
> research and give further consideration.<br>
><br>
> ~josh<br>
><br>
> On Jun 18, 2014 5:22 PM, "(P7N) Jason Johnson" <<a href="mailto:jason.johnson@p7n.net" target="_blank">jason.johnson@p7n.net</a>><br>
> wrote:<br>
>><br>
>> I have been quiet for sometime just watching as things happen as they<br>
>> usually do. Farming out the management duties to a third party sounds like<br>
>> some office space stuff. Sounds strange to me but I will research this and<br>
>> reply back with further disbelief. Meetings with the Bobs..."Well bob I say<br>
>> I do about 25 min of actual work a week" (officespace)<br>
>><br>
>><br>
>><br>
>> On June 18, 2014 4:24:44 PM CDT, Josh Sokol <<a href="mailto:josh.sokol@owasp.org" target="_blank">josh.sokol@owasp.org</a>> wrote:<br>
>>><br>
>>> OWASP Community,<br>
>>><br>
>>> As you already know, our Executive Director, Sarah Baso, recently<br>
>>> announced that she will be leaving OWASP in August in order to spend quality<br>
>>> time with the coming addition to her family.  Since she initially notified<br>
>>> us of her intent, the Board and Sarah began the conversation of how OWASP<br>
>>> would move forward in her absence.  I think we all are aware that Sarah has<br>
>>> made some amazing contributions to our organization and her absence will not<br>
>>> go unnoticed.  That said, it is important for us to think about a short-term<br>
>>> transition plan as well as a long-term vision for the role of Executive<br>
>>> Director at OWASP.<br>
>>><br>
>>> No decisions have been made yet, but the Board believes that there may be<br>
>>> significant value in working with a third-party professional management firm<br>
>>> with experience in global finance, human resources, and non-profit growth in<br>
>>> order to help us to assess where we are today and where we would like to get<br>
>>> to with the Foundation.  The goal would be to use them to transition many of<br>
>>> Sarah's current responsibilities, leverage their expertise to determine if<br>
>>> there are areas that we can improve upon, and then reassess our options at<br>
>>> that time (tentatively Q4 2014).  We could elect to keep them around,<br>
>>> conduct a search for a new Executive Director, or whatever we all feel makes<br>
>>> sense as we push forward.<br>
>>><br>
>>> After researching several such services, we have all been very impressed<br>
>>> with a company called Virtual Management Inc.  Their support would include<br>
>>> time from Greg Kohn as the Team Lead, Tom Pappas for Finance and Grants, and<br>
>>> Janice Carroll for Operations.  They have a large volume of experience<br>
>>> working with non-profit organizations similar to our own and received a<br>
>>> positive review for their current work with the Apache Software Foundation.<br>
>>><br>
>>> QUESTION:<br>
>>><br>
>>> Has anyone had a business relationship with:<br>
>>><br>
>>> Virtual Management Inc. or Wakefield, MA or any of its employees?<br>
>>> Website: <a href="http://www.virtualmgmt.com/" target="_blank">http://www.virtualmgmt.com/</a><br>
>>> Linkedin: <a href="https://www.linkedin.com/company/50550" target="_blank">https://www.linkedin.com/company/50550</a><br>
>>><br>
>>> We are conducting our due diligence and are looking for anyone who has<br>
>>> had either GOOD or BAD experiences with Virtual.  OWASP Community, if you<br>
>>> have any feedback regarding Virtual, we would love to hear your comments.<br>
>>> Please, if you have any thoughts, feel free to respond back to this message,<br>
>>> send us an e-mail in private, or call any of us up.  We have a contract from<br>
>>> Virtual, but wanted to make sure that there were no significant concerns<br>
>>> from the community before signing.  We've set a soft deadline of 5:00 PM PST<br>
>>> on Friday, June 20th to try and collect all feedback and make a decision on<br>
>>> how to proceed.  Thank you very much in advance for anything that you can<br>
>>> add to this conversation!<br>
>>><br>
>>> Sincerely,<br>
>>><br>
>>> The OWASP Board of Directors<br>
>>><br>
>>> ________________________________<br>
>>><br>
>>> OWASP-Leaders mailing list<br>
>>> <a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
>>><br>
>>> <a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
>><br>
>><br>
>> Jason Johnson<br>
>> Projectseven<br>
>> e: <a href="mailto:Jason.Johnson@p7n.net" target="_blank">Jason.Johnson@p7n.net</a><br>
>> c: **DATAMAN<br>
>> --<br>
>> On the phone. Please excuse my brevity.<br>
><br>
><br>
> _______________________________________________<br>
> Governance mailing list<br>
> <a href="mailto:Governance@lists.owasp.org" target="_blank">Governance@lists.owasp.org</a><br>
> <a href="https://lists.owasp.org/mailman/listinfo/governance" target="_blank">https://lists.owasp.org/mailman/listinfo/governance</a><br>
><br>
<br>
<br>
<br>
--<br>
Regards,<br>
Christian Heinrich<br>
<br>
<a href="http://cmlh.id.au/contact" target="_blank">http://cmlh.id.au/contact</a><br>
</blockquote></div>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br>Regards,<br>Christian Heinrich<br><br><a href="http://cmlh.id.au/contact" target="_blank">http://cmlh.id.au/contact</a>
</div>
</div></div><br>_______________________________________________<br>
Governance mailing list<br>
<a href="mailto:Governance@lists.owasp.org" target="_blank">Governance@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/governance" target="_blank">https://lists.owasp.org/mailman/listinfo/governance</a><br>
<br></blockquote></div><br></div></div></div>
</blockquote></div><br><br clear="all"><div><br></div>-- <br>Regards,<br>Christian Heinrich<br><br><a href="http://cmlh.id.au/contact" target="_blank">http://cmlh.id.au/contact</a>
</div>
</blockquote></div>