<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:x="urn:schemas-microsoft-com:office:excel" xmlns:p="urn:schemas-microsoft-com:office:powerpoint" xmlns:a="urn:schemas-microsoft-com:office:access" xmlns:dt="uuid:C2F41010-65B3-11d1-A29F-00AA00C14882" xmlns:s="uuid:BDC6E3F0-6DA3-11d1-A2A3-00AA00C14882" xmlns:rs="urn:schemas-microsoft-com:rowset" xmlns:z="#RowsetSchema" xmlns:b="urn:schemas-microsoft-com:office:publisher" xmlns:ss="urn:schemas-microsoft-com:office:spreadsheet" xmlns:c="urn:schemas-microsoft-com:office:component:spreadsheet" xmlns:oa="urn:schemas-microsoft-com:office:activation" xmlns:html="http://www.w3.org/TR/REC-html40" xmlns:q="http://schemas.xmlsoap.org/soap/envelope/" xmlns:D="DAV:" xmlns:x2="http://schemas.microsoft.com/office/excel/2003/xml" xmlns:ois="http://schemas.microsoft.com/sharepoint/soap/ois/" xmlns:dir="http://schemas.microsoft.com/sharepoint/soap/directory/" xmlns:ds="http://www.w3.org/2000/09/xmldsig#" xmlns:dsp="http://schemas.microsoft.com/sharepoint/dsp" xmlns:udc="http://schemas.microsoft.com/data/udc" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:sps="http://schemas.microsoft.com/sharepoint/soap/" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:udcxf="http://schemas.microsoft.com/data/udc/xmlfile" xmlns:st1="urn:schemas-microsoft-com:office:smarttags" xmlns="http://www.w3.org/TR/REC-html40">

<head>
<meta http-equiv=Content-Type content="text/html; charset=us-ascii">
<meta name=Generator content="Microsoft Word 11 (filtered medium)">
<!--[if !mso]>
<style>
v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
</style>
<![endif]--><o:SmartTagType
 namespaceuri="urn:schemas-microsoft-com:office:smarttags" name="country-region"/>
<o:SmartTagType namespaceuri="urn:schemas-microsoft-com:office:smarttags"
 name="place" downloadurl="http://www.5iantlavalamp.com/"/>
<o:SmartTagType namespaceuri="urn:schemas-microsoft-com:office:smarttags"
 name="PersonName"/>
<!--[if !mso]>
<style>
st1\:*{behavior:url(#default#ieooui) }
</style>
<![endif]-->
<style>
<!--
 /* Font Definitions */
 @font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
        {font-family:"Trebuchet MS";
        panose-1:2 11 6 3 2 2 2 2 2 4;}
 /* Style Definitions */
 p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman";}
a:link, span.MsoHyperlink
        {color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {color:purple;
        text-decoration:underline;}
p.MsoDocumentMap, li.MsoDocumentMap, div.MsoDocumentMap
        {margin:0cm;
        margin-bottom:.0001pt;
        background:navy;
        font-size:10.0pt;
        font-family:Tahoma;}
p.MsoPlainText, li.MsoPlainText, div.MsoPlainText
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:10.0pt;
        font-family:Arial;}
p.Sandra, li.Sandra, div.Sandra
        {margin:0cm;
        margin-bottom:.0001pt;
        text-align:justify;
        font-size:10.0pt;
        font-family:Arial;}
p.Paulo, li.Paulo, div.Paulo
        {margin:0cm;
        margin-bottom:.0001pt;
        text-align:justify;
        font-size:10.0pt;
        font-family:"Trebuchet MS";}
@page Section1
        {size:612.0pt 792.0pt;
        margin:72.0pt 116.0pt 72.0pt 116.0pt;}
div.Section1
        {page:Section1;}
-->
</style>

</head>

<body lang=EN-US link=blue vlink=purple>

<div class=Section1>

<p class=MsoPlainText style='text-align:justify'><font size=2 face=Arial><span
lang=EN-GB style='font-size:10.0pt'>Dear de Boer,<o:p></o:p></span></font></p>

<p class=MsoPlainText style='text-align:justify'><font size=2 face=Arial><span
lang=EN-GB style='font-size:10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText style='text-align:justify'><font size=2 face=Arial><span
lang=EN-GB style='font-size:10.0pt'>First of all, please accept my apologies for
such a long delay in answering your questions.<o:p></o:p></span></font></p>

<p class=MsoPlainText style='text-align:justify'><font size=2 face=Arial><span
lang=EN-GB style='font-size:10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText style='text-align:justify'><font size=2 face=Arial><span
lang=EN-GB style='font-size:10.0pt'>Secondly, I thank you for supporting OWASP.
<o:p></o:p></span></font></p>

<p class=MsoPlainText style='text-align:justify'><font size=2 face=Arial><span
lang=EN-GB style='font-size:10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText style='text-align:justify'><font size=2 face=Arial><span
lang=EN-GB style='font-size:10.0pt'>Next, your proposal has of course been
accept – be very welcomed! <o:p></o:p></span></font></p>

<p class=MsoPlainText style='text-align:justify'><font size=2 face=Arial><span
lang=EN-GB style='font-size:10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText style='text-align:justify'><font size=2 face=Arial><span
lang=EN-GB style='font-size:10.0pt'>Assuming that you have accepted <font
color="#333399"><span style='color:#333399'>the <a
href="https://www.owasp.org/index.php/OWASP_Licenses#Contributor_License_Agreements">Owasp
open source license</a>, I have set up a </span></font>project page for you. You
can see it <font color=blue><span style='color:blue'><a
href="https://www.owasp.org/index.php/Category:OWASP_Open_Review_Project">here</a></span></font>.
Please feel free to change it as you find best.<o:p></o:p></span></font></p>

<p class=MsoPlainText style='text-align:justify'><font size=2 face=Arial><span
lang=EN-GB style='font-size:10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText style='text-align:justify'><font size=2 face=Arial><span
lang=EN-GB style='font-size:10.0pt'>I also created a mailing list for your
project. The address is <a href="mailto:open-review-project@lists.owasp.org">open-review-project@lists.owasp.org</a>
and the provisory password is <b><span style='font-weight:bold'>mariodeboertochange.
<o:p></o:p></span></b></span></font></p>

<p class=MsoPlainText style='text-align:justify'><b><font size=2 face=Arial><span
lang=EN-GB style='font-size:10.0pt;font-weight:bold'><o:p> </o:p></span></font></b></p>

<p class=MsoPlainText style='text-align:justify'><font size=2 face=Arial><span
lang=EN-GB style='font-size:10.0pt'>As a result, you are now able to use this
email list <a href="mailto:owasp-leaders@lists.owasp.org">owasp-leaders@lists.owasp.org</a>
to contact all of the most active OWASP members. I suggest contacting them to discuss
your project and to find hypothetical contributors.<o:p></o:p></span></font></p>

<p class=MsoPlainText style='text-align:justify'><font size=2 face=Arial><span
lang=EN-GB style='font-size:10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText style='text-align:justify'><font size=2 face=Arial><span
lang=EN-GB style='font-size:10.0pt'>However, I’ve already discussed your
project with Dinis Cruz (<a href="mailto:dinis.cruz@owasp.org">dinis.cruz@owasp.org</a>)
- he is one of the five OWASP Board Members - and he would like, at first, to
have a word with you. I can advance that he is as well very pleased with your initiative.<o:p></o:p></span></font></p>

<p class=MsoPlainText style='text-align:justify'><b><font size=2 face=Arial><span
lang=EN-GB style='font-size:10.0pt;font-weight:bold'><o:p> </o:p></span></font></b></p>

<p class=MsoPlainText style='text-align:justify'><font size=2 face=Arial><span
lang=EN-GB style='font-size:10.0pt'>To conclude, once again, it will be a
pleasure to have you among us. Please, don’t hesitate to get back to me
whenever you think that I can help with.<o:p></o:p></span></font></p>

<p class=MsoPlainText style='text-align:justify'><font size=2 face=Arial><span
lang=EN-GB style='font-size:10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText style='text-align:justify'><font size=2 face=Arial><span
lang=EN-GB style='font-size:10.0pt'>Many thanks, best regards,<o:p></o:p></span></font></p>

<p class=MsoPlainText style='text-align:justify'><b><font size=2 face=Arial><span
lang=EN-GB style='font-size:10.0pt;font-weight:bold'><o:p> </o:p></span></font></b></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'>Paulo Coimbra<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'>OWASP Project Manager<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=blue face=Arial><span lang=EN-GB
style='font-size:10.0pt;font-family:Arial;color:blue'>Join us at <a
href="https://www.owasp.org/index.php/OWASP_NYC_AppSec_2008_Conference"
title="blocked::https://www.owasp.org/index.php/OWASP_NYC_AppSec_2008_Conference">OWASP
NYC AppSec 2008 Conference</a><o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 color=blue face=Arial><span lang=EN-GB
style='font-size:10.0pt;color:blue'><img border=0 width=468 height=60
id="_x0000_i1025" src="cid:image001.gif@01C8C642.E35615B0"></span></font><span
lang=EN-GB><o:p></o:p></span></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'> </span></font>-----Original Message-----<br>
From: Mario de Boer [mailto:njama@xs4all.nl] <br>
Sent: 02 June 2008 09:05<br>
To: owasp@owasp.org; <st1:PersonName w:st="on">paulo.coimbra@owasp.org</st1:PersonName><br>
Subject: Project proposal: ORPRO (Open Review Project)]</p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'>Dear OWASP,<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'>I sent attached mail a week ago. As I didn't receive a
response, I am<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'>trying again.<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'>With kind regards,<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'>Mario<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'>---------------------------- Original Message
----------------------------<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'>Subject: Project proposal: ORPRO (Open Review Project)<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'>From:    "Mario de Boer"
<njama@xs4all.nl><o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'>Date:    Sat, May 24, 2008 22:48<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'>To:      owasp@owasp.org<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'>         <st1:PersonName
w:st="on">paulo.coimbra@owasp.org</st1:PersonName><o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'>--------------------------------------------------------------------------<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'>Dear OWASP,<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'>I have been reviewing popular open source common
libraries and apps (zlib,<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'>truecrypt, etc). We all have many 10's or 100's of
these on our machines,<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'>in our routers, in our web servers, etc. The quality
is sometimes<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'>appalling, and as a consequence I am worried about the
security. What, for<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'>example, if there were an exploitable bug in zlib?
Patch Windows in 200<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'>places, Cisco routers, etc etc. But how many people
understand the source<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'>of zlib, and take the effort to check, write it down,
and make the results<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'>available to everyone?<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'>So, it seemed a good idea to start the Open Review
PROject(ORPRO).<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'>Opposed to other initiatives, the idea is:<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'>1. Independent review, not led by development project,
but by software<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'>security professionals<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'>2. Centrally managed<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'>3. Leading to independent statement what is reviewed,
why it is reviewed,<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'>why it is considered secure, and in the end some
assurance that the<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'>software is free from security bugs.<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'>4. Not afraid of digging into hard algorithms
(compression, crypto, etc)<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'>Key is openness, responsible disclosure, without
leaking vulns to each and<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'>everyone.<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'>I heard Mark Roxberry's talk on his .NET initiatives
at Appsec <st1:country-region w:st="on"><st1:place w:st="on">Belgium</st1:place></st1:country-region>.
It<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'>seems he is thinking along the same line on this. Why
not combine the<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'>review approaches in ORPRO, irrespective of the
language?<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'>I am experienced in project management, enthusiastic,
and a vivid public<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'>speaker. I have a PhD in math, reverse engineered
professionally for many<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'>years, was cryptographic researcher, performed
pentesting, taught secure<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'>development training and reverse engineering, etc.
Currently I am security<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'>consultant, mainly in governance an compliance at
multinationals. In my<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'>spare time I analyze code.<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'>Please let me know what you think of my proposal. I
think many<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'>organization would be extremely glad that OWASP openly
checks open source<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'>libraries and software that are vital to most
commercial and noncommercial<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'>apps around.<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'>With kind regards,<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'>Mario de Boer, PhD, CISSP, CISA<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText><font size=2 face=Arial><span lang=EN-GB
style='font-size:10.0pt'><o:p> </o:p></span></font></p>

</div>

</body>

</html>