<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>
<meta http-equiv=Content-Type content="text/html; charset=us-ascii">
<meta name=Generator content="Microsoft Word 12 (filtered medium)">
<style>
<!--
 /* Font Definitions */
 @font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
 /* Style Definitions */
 p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p
        {mso-style-priority:99;
        mso-margin-top-alt:auto;
        margin-right:0in;
        mso-margin-bottom-alt:auto;
        margin-left:0in;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
span.EmailStyle18
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
-->
</style>
<!--[if gte mso 9]><xml>
 <o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
 <o:shapelayout v:ext="edit">
  <o:idmap v:ext="edit" data="1" />
 </o:shapelayout></xml><![endif]-->
</head>

<body lang=EN-US link=blue vlink=purple>

<div class=WordSection1>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'>Actually, I see no urgency on this issue whatsoever.<o:p></o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'><o:p> </o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'>I’d like to suggest a separate vote on pulling down the
existing CSR.<o:p></o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'><o:p> </o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'>--Jeff<o:p></o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'><o:p> </o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'><o:p> </o:p></span></p>

<div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'>

<p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From:</span></b><span
style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> eoinkeary@gmail.com
[mailto:eoinkeary@gmail.com] <b>On Behalf Of </b>Eoin<br>
<b>Sent:</b> Thursday, June 17, 2010 9:35 AM<br>
<b>To:</b> dinis cruz; Jeff Williams; OWASP Foundation Board List<br>
<b>Subject:</b> Re: [Owasp-board] IMPORTANT: Proposed (revised) model for the
'OWASP Commercial Services' pages<o:p></o:p></span></p>

</div>

<p class=MsoNormal><o:p> </o:p></p>

<div>

<p class=MsoNormal>"With great power comes great responsibility", we
don't have much power but need to make a robust decision on this issue.<o:p></o:p></p>

</div>

<div>

<p class=MsoNormal>Not every one shall be happy with the outcome but that is
democracy and the joys of defining direction of any group or team.<o:p></o:p></p>

</div>

<div>

<p class=MsoNormal> <o:p></o:p></p>

</div>

<div>

<p class=MsoNormal>I am happy to support this as long as it is in line with
OWASP's mission.<o:p></o:p></p>

</div>

<div>

<p class=MsoNormal>The question is; is it?<o:p></o:p></p>

</div>

<div>

<p class=MsoNormal>Maybe we should put this to a vote which includes the active
project (not chapter) leads also?<o:p></o:p></p>

</div>

<div>

<p class=MsoNormal> <o:p></o:p></p>

</div>

<div>

<p class=MsoNormal> <o:p></o:p></p>

</div>

<div>

<p class=MsoNormal>-ek<o:p></o:p></p>

</div>

<div>

<p class=MsoNormal> <o:p></o:p></p>

</div>

<div>

<p class=MsoNormal><br>
<br>
 <o:p></o:p></p>

</div>

<div>

<p class=MsoNormal>On 17 June 2010 00:14, dinis cruz <<a
href="mailto:dinis.cruz@owasp.org">dinis.cruz@owasp.org</a>> wrote:<o:p></o:p></p>

<p class=MsoNormal>I disagree Jeff that we should call it a day, <o:p></o:p></p>

<div>

<p class=MsoNormal><o:p> </o:p></p>

</div>

<div>

<p class=MsoNormal>I don't understand why you think that the rules I proposed
are sound but dismiss it from having a chance of working (and you are wrong
with the problem with anonymous comments, since managing that is part of what
the team behind this service needs to do).<o:p></o:p></p>

</div>

<div>

<p class=MsoNormal><o:p> </o:p></p>

</div>

<div>

<p class=MsoNormal>Part of the problem so far has been
Mike's cavalier approach to the problem which has created a lot of
negative energy behind this.<o:p></o:p></p>

</div>

<div>

<p class=MsoNormal><o:p> </o:p></p>

</div>

<div>

<p class=MsoNormal>This is why this project/initiative should/will be lead
by people that know our community quite well and are respected by them. In this
case me and Eoin.<o:p></o:p></p>

</div>

<div>

<p class=MsoNormal><o:p> </o:p></p>

</div>

<div>

<p class=MsoNormal>Jeff, it is perfectly OK for you to have a position that you
don't feel the proposed model (i.e. the original rules + the changes made by
Eoin (and hopefully Dave)) will work, but we need to give this a go.<o:p></o:p></p>

</div>

<div>

<p class=MsoNormal><o:p> </o:p></p>

</div>

<div>

<p class=MsoNormal>So, I propose that we have a vote on presenting the new set
of rules to the leaders as a 'new model to see if it works', and then let me
and Eoin (and others who wish to be involved) run with it and see if we can get
it to work.<o:p></o:p></p>

</div>

<div>

<p class=MsoNormal><o:p> </o:p></p>

</div>

<div>

<p class=MsoNormal>So far, Jeff has been the only one that will (probably?)
vote against this (or abstain from voting). Anybody else has issues that they
would like to raise?<o:p></o:p></p>

</div>

<div>

<p class=MsoNormal><o:p> </o:p></p>

</div>

<div>

<p class=MsoNormal>Dave, can you add your comments to the document Eoin sent
last time so that I can resubmit it as the final version?<br clear=all>
<o:p></o:p></p>

</div>

<div>

<p class=MsoNormal>Btw, Jeff, I really like this phrase from your last email,
since it is exactly what I'm trying to create here:<o:p></o:p></p>

</div>

<div>

<p class=MsoNormal><o:p> </o:p></p>

</div>

<div>

<p class=MsoNormal>"...<span style='font-size:8.5pt;font-family:"Arial","sans-serif";
color:#1F497D'>At the core, the idea is that we can unite our ecosystem by
making it much easier to earn money through OWASP. Already, many organizations
use our tools and materials in their products and services.  And many of
the core OWASP contributors work for commercial application security product
and services companies.  We are exploring ways to harness the power of
market forces to achieve our mission without compromising our
principles...."</span><o:p></o:p></p>

</div>

<div>

<p class=MsoNormal><o:p> </o:p></p>

</div>

<div>

<p class=MsoNormal style='margin-bottom:12.0pt'><span style='color:#888888'>Dinis
Cruz<br>
<br>
</span><o:p></o:p></p>

<div>

<div>

<div>

<p class=MsoNormal>On 16 June 2010 19:10, Jeff Williams <<a
href="mailto:jeff.williams@owasp.org" target="_blank">jeff.williams@owasp.org</a>>
wrote:<o:p></o:p></p>

</div>

</div>

<blockquote style='border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;
margin-left:4.8pt;margin-right:0in'>

<div>

<div>

<div>

<div>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#1F497D'>Board,</span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#1F497D'> </span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#1F497D'>I’ve spent the last week thinking
about OWASP’s relationship with the commercial market.  Like a good
lawyer, I’ve tried to argue the sense of engaging with commercial forces
below.  But -- I can’t make myself believe it.</span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#1F497D'> </span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#1F497D'>Even though the model proposed is a big
improvement on what’s there AND the rules are solid, I don’t
believe it will actually work.  The move to a customer-driven model (vs. a
corporate driven one) is a good idea.  But we just don’t have the
technology or human cycles to avoid abuse – assuming it got used enough
to be abused.  Imagine the first post is terribly critical of Veracode.
This could have been a real customer or not, it could have been a competitor
– we have no way of knowing. And if someone responds we have no way of
knowing if that is real either.  Ultimately, a big pile of untrustworthy
crap that drags our reputation down for no clear benefit.</span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#1F497D'> </span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#1F497D'>I have racked my brain about this, and I
don’t see a clear path forward.  I propose we take down the CSR as a
failed experiment and call it a day.</span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#1F497D'> </span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#1F497D'>I do think there are things that we can
do *<b>with</b>* industry where our interests are very clearly aligned. 
Things that will really actually help us achieve our mission.  Of the
ideas below, I think the industry-wide awareness campaign is the most likely to
succeed.</span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#1F497D'> </span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#1F497D'>--Jeff</span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#1F497D'> </span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#1F497D'> </span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#1F497D'>-------------</span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#1F497D'> </span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#1F497D'>Hi everyone,</span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#1F497D'> </span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#1F497D'>To achieve our goal of improving
application security worldwide we need a thriving sustainable application
security ecosystem. Only through the activity of this ecosystem can we drive
progress in application security.  For more on the security ecosystem concept,
please refer to <a
href="http://www.owasp.org/index.php/Security_Ecosystem_Project" target="_blank">http://www.owasp.org/index.php/Security_Ecosystem_Project</a>.
</span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#1F497D'> </span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#1F497D'>For a long time, OWASP has resisted all
but the most trivial interaction with commercial organizations in an effort to
ensure that our brand is not abused nor our mission compromised. However, the
application security market is less than 1% of what it needs to be to keep up
with new software development. Given the staggering size of the challenge we
face, we may have to change our tactics.  It goes without saying that we
would never change our values about keeping everything at OWASP free and open.</span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#1F497D'> </span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#1F497D'>At the core, the idea is that we can
unite our ecosystem by making it much easier to earn money through OWASP.
Already, many organizations use our tools and materials in their products and
services.  And many of the core OWASP contributors work for commercial
application security product and services companies.  We are exploring
ways to harness the power of market forces to achieve our mission without
compromising our principles.</span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#1F497D'> </span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#1F497D'>The good news is that it is in <u>everyone’s</u>
interest to make our application security ecosystem grow and thrive. </span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#1F497D'> </span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#1F497D'>Some ideas:</span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#1F497D'> </span><o:p></o:p></p>

<p><span style='font-size:11.0pt;font-family:Symbol;color:#1F497D'>·</span><span
style='font-size:7.0pt;color:#1F497D'>       
</span><span style='font-size:11.0pt;color:#1F497D'>We could start a moderated
commercial services registry.  We tried this and it didn’t work very
well.  The marketing language involved wasn’t very consistent with
OWASP principles, and it also wasn’t attractive to commercial firms.</span><o:p></o:p></p>

<p><span style='font-size:11.0pt;color:#1F497D'> </span><o:p></o:p></p>

<p><span style='font-size:11.0pt;font-family:Symbol;color:#1F497D'>·</span><span
style='font-size:7.0pt;color:#1F497D'>       
</span><span style='font-size:11.0pt;color:#1F497D'>We could turn it around and
provide a forum for customers to share their experiences with product and
service companies in our space. But without a reputation platform,
there’s little doubt that the service would be abused by anonymous
posters.</span><o:p></o:p></p>

<p><span style='font-size:11.0pt;color:#1F497D'> </span><o:p></o:p></p>

<p><span style='font-size:11.0pt;font-family:Symbol;color:#1F497D'>·</span><span
style='font-size:7.0pt;color:#1F497D'>       
</span><span style='font-size:11.0pt;color:#1F497D'>We could partner with
industry to lead a balanced industry-wide awareness campaign.</span><o:p></o:p></p>

<p><span style='font-size:11.0pt;color:#1F497D'> </span><o:p></o:p></p>

<p><span style='font-size:11.0pt;font-family:Symbol;color:#1F497D'>·</span><span
style='font-size:7.0pt;color:#1F497D'>       
</span><span style='font-size:11.0pt;color:#1F497D'>We can seek out and support
commercial entities that are willing to build commercial services based on
OWASP projects. In a way, acting as an incubator for good ideas in appsec.</span><o:p></o:p></p>

<p><span style='font-size:11.0pt;color:#1F497D'> </span><o:p></o:p></p>

<p><span style='font-size:11.0pt;font-family:Symbol;color:#1F497D'>·</span><span
style='font-size:7.0pt;color:#1F497D'>       
</span><span style='font-size:11.0pt;color:#1F497D'>We can lobby goverments
around the world to take steps towards making application security visible.</span><o:p></o:p></p>

<p><span style='font-size:11.0pt;color:#1F497D'> </span><o:p></o:p></p>

<p><span style='font-size:11.0pt;font-family:Symbol;color:#1F497D'>·</span><span
style='font-size:7.0pt;color:#1F497D'>       
</span><span style='font-size:11.0pt;color:#1F497D'>bzzzz</span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#1F497D'> </span><o:p></o:p></p>

<div>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span
style='font-size:11.0pt;color:#1F497D'> </span><o:p></o:p></p>

</div>

<div>

<p class=MsoNormal style='mso-margin-top-alt:auto;margin-bottom:12.0pt'><span
style='font-size:11.0pt;color:#1F497D'> </span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;margin-bottom:12.0pt'><span
style='font-size:11.0pt;color:#1F497D'> </span><o:p></o:p></p>

</div>

</div>

</div>

<p class=MsoNormal><o:p> </o:p></p>

</div>

</div>

<div>

<p class=MsoNormal style='margin-bottom:12.0pt'>_______________________________________________<br>
Owasp-board mailing list<br>
<a href="mailto:Owasp-board@lists.owasp.org" target="_blank">Owasp-board@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-board" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a><o:p></o:p></p>

</div>

</blockquote>

</div>

<p class=MsoNormal><o:p> </o:p></p>

</div>

<p class=MsoNormal style='margin-bottom:12.0pt'><br>
_______________________________________________<br>
Owasp-board mailing list<br>
<a href="mailto:Owasp-board@lists.owasp.org">Owasp-board@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-board" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a><o:p></o:p></p>

</div>

<p class=MsoNormal><br>
<br clear=all>
<br>
-- <br>
Eoin Keary<br>
OWASP Global Board Member<br>
OWASP Code Review Guide Lead Author<br>
<br>
Sent from my i-Transmogrifier<br>
<a href="http://asg.ie/">http://asg.ie/</a><br>
<a href="https://twitter.com/EoinKeary">https://twitter.com/EoinKeary</a><o:p></o:p></p>

</div>

</body>

</html>