Justin<br><br>You are raising very important (if not critical) issues here which I want to fully clarify and sort out. <br><br>I will reply in detail to your email, but before I do just one question: "How much of this are you willing to go 'on the record', that is put your name to it?". It doesn't mean that we will post all this to everybody in OWASP but (for example) I want to clarify with the Taiwan chapter leader these issues, and it will be easier if I can directly quote you (and others (if you know other people who share your feelings please put them in touch))
<br><br>My objective is to turn this into a positive event, with lessons learned for all parties involved (assuming of course that we are able to amicably solve the current 'brand abuse' issues)<br><br><br>Dinis Cruz
<br>Chief OWASP Evangelist<br><a href="http://www.owasp.org">http://www.owasp.org</a> 
<br><br><br><div><span class="gmail_quote">On 8/23/07, <b class="gmail_sendername">Justin Derry</b> <<a href="mailto:JDerry@b-sec.com">JDerry@b-sec.com</a>> wrote:</span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">









<div link="blue" vlink="purple" lang="EN-AU">

<div>

<p>Guys,</p>

<p>Firstly i think i have meet everyone on the CC/To list and
there is a good reason why this email has not been forwarded to the <a href="mailto:owasp-leaders@owasp.org" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">owasp-leaders@owasp.org</a> mailing list.
</p>

<p>Anyhow as most of you know i have been involved in owasp
(lately more due to availability and effort during business hours) but are
currently trying to setup some conferences in Asia etc.</p>

<p> </p>

<p>The reason for this selective email is simply due to the
fact that it reflects directly on some of the people on the owasp-leaders list.</p>

<p> </p>

<p>Recently A chapter leader approached OWASP in regards to
converting his 350+ people conference to an OWASP Asia Pacific Conference 2007,
he is currently running it as a "Taiwan Chapter" conference.</p>

<p>I spent some time with the person discussing some of the
common goals of a conference and ensure that the appropriate messages (i.e
vendor independence etc) being careful of how to approach these things.</p>

<p>He agreed and has forwarded to Dave Wichers etc for approval
in which he got. He proceeded with 48 hours of that to approach a Customer in Taiwan
and immediately tell them Amorize is the only sponsor of the OWASP 2007 Asia
Pacific conference and OWASP fully supports and backs Amorize. Which is obviously
so far from the truth it's not funny. (They don't even sponsor
OWASP Corporately)</p>

<p>This statement came from two different sources about the
OWASP and Amorize (not vendors but customer sources).</p>

<p> </p>

<p>Anyhow the reason for the email is, this is a big problem.
We all work for companies that typically have an invested interest in the
Application Security space, but i think by most everyone plays by the rules. Obviously
there are people that don't and are abusing the OWASP name and using the
hard work of Mark, Andrew, Dave and everyone else. Recently as a company we
invested in OWASP and are also as most of you aware investing business hours
and effort in increasing the OWASP project because i believe in it. The
collective thinking is powerful and i believe the people involved are excellent.
However we currently i believe have a serious problem with a selective few people
abusing the system.</p>

<p> </p>

<p>I agree with Mark C's comments in regards to the
direction and the comments about financial sides of OWASP and the approach that
OWASP should take moving forward. However i think we need to seriously address
the misuse immediately of the OWASP brand and approach some chapters etc are
taking. This can be achieved reasonably easily i think by completing a few
tasks. Some of which i have included below.</p>

<p> </p>

<p>Why doesn't OWASP consider (if we have the $$)
employing a administrative person to simply monitor the activity of OWASP
chapters follow up on presentations etc. This would be perfect as if each
chapter leader new that they would be asked for their presentation notes to be
published online, if there was anything inappropriate this would hopefully
reduce. (or maybe approval prior??). Yes there is alot of chapters but with a
single person review and posting presentations i think overall someone would
have an idea on what was being presented. Also would mean we would have a great
collection point? Surely this wouldn't cost that much? An admin person
here in OZ is only around 30,000 USD a year?</p>

<p> </p>

<p>Secondly vendor involvement. I like it, and i think OWASP
needs it for the future, however there should be some hard and fast rules about
it. I.e (maybe no chapter leads from vendors?? Too much temptation). Maybe we
set some strict guidelines about how they can get involved, ie. At conferences
etc. Maybe we allow them to place sponsorship on the web site only and provide
a facility. ?? Most chapter leads i believe are good but i haven't been
too many. I do look through the wiki and see alot of "vendor" names
poping up. Not a lot of consulting firms but lots of vendor names..</p>

<p> </p>

<p>Conferences, As you know i am trying to work on a Big OWASP
Asia conference. I see the rules being Vendors (all of them) get an invite,
allowed to provide a booth, and if the numbers allow it maybe a separate speaking
stream where they can present. Thats all still thought process, but using the
vendor money to increase awareness is actually quite good.</p>

<p> </p>

<p>I don't know if this email is going down to one? Maybe
these are just my feelings, but for a person willing to put alot of effort into
the OWASP cause i am horrified to hear about this instance in Taiwan. This is
backed up by the fact he has even written in an email to me that he doesn't
want to invite any vendors and is happy for his company to pay for the lot.
Really i don't think this is the way to approach it, simply as he is
using the conference purely as a springboard for his new company. The other
problem with this, is how do the other vendors who put in $$$$ to support owasp
and they have another company not even supporting OWASP doing this. I am sure
that they wouldn't be happy as were is their money going.</p>

<p> </p>

<p>So i suppose in summary why not look at an administrative
person to oversee presentations etc, and we set some specific guidelines (more
detailed) then the chapter rules for each chapter. We also place a wide advice
to all vendors advising them of our position and maybe even ask them to put up
money if they wish to continue referencing the OWASP guides etc. They are all
getting valuable effort without any $$ or input. I even saw a vendor at
Blackhat this year using and promoting the OWASP WebGoat tool to promote their
own tools. This was insane?</p>

<p> </p>

<p>Anyhow hopefully my rant hasn't been received poorly,
sounds like a few people are making some interesting comments in the past 24
hours, and hopefully this all goes into a bucket to better OWASP?</p>

<p>If not then please kill me now.. <span style="font-family: Wingdings;">J</span></p>

<p> </p>

<p>BTW Dave W you probably get the feeling i am recommending that
we don't allow Taiwan to run their conference as the OWASP ASIA
conference and further probably not as a conference at all. There is alot of
material on the WIKI about his conference.</p>

<p> </p>

<p>Anyhow thanks for reading that big email guys...</p>

<p>Cheers</p>

<p>Justin</p>

<p> </p>

<p><span style="font-size: 9pt; color: black;">Justin Derry</span></p>

<p><span style="font-size: 9pt; color: black;">Application Security</span></p>

<p><span style="font-size: 9pt; color: black;">Practice Leader</span><b></b></p>

<p style="margin-top: 6pt;"><b><span style="font-size: 9pt; color: black;">b-sec Consulting</span></b><b><span style="font-size: 12pt; color: black;"></span></b></p>

<p><b><span style="font-size: 9pt; color: black;">Mobile:   0411 411 881</span></b></p>

<p style="margin-top: 6pt;"><span style="font-size: 9pt; color: black;">Direct:    
07 3217 5936</span></p>

<p><span style="font-size: 9pt; color: black;">Switch:    07 3374 3011</span></p>

<p><span style="font-size: 9pt; color: black;">Fax:        07 3217 6573</span></p>

<p><u><span style="font-size: 9pt; color: blue;"><a href="http://www.b-sec.com/" title="http://www.b-sec.com/" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)"><span style="color: blue;">www.b-sec.com
</span></a></span></u><u><span style="font-size: 12pt; color: blue;"></span></u></p>

<p><i><span style="font-size: 9pt;">Disclaimer:  <a href="http://www.b-sec.com.au/disclaimer.txt" title="http://www.b-sec.com.au/disclaimer.txt" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)"><span style="color: blue;">
www.b-sec.com.au/disclaimer.txt</span></a></span></i></p>

<p> </p>

</div>

</div>


</blockquote></div><br><br clear="all"><br>--