<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>
<meta http-equiv=Content-Type content="text/html; charset=us-ascii">
<meta name=Generator content="Microsoft Word 12 (filtered medium)">
<style>
<!--
 /* Font Definitions */
 @font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
        {font-family:Consolas;
        panose-1:2 11 6 9 2 2 4 3 2 4;}
 /* Style Definitions */
 p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p.MsoPlainText, li.MsoPlainText, div.MsoPlainText
        {mso-style-priority:99;
        mso-style-link:"Plain Text Char";
        margin:0cm;
        margin-bottom:.0001pt;
        font-size:10.5pt;
        font-family:Consolas;}
span.PlainTextChar
        {mso-style-name:"Plain Text Char";
        mso-style-priority:99;
        mso-style-link:"Plain Text";
        font-family:Consolas;}
span.EmailStyle19
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page Section1
        {size:612.0pt 792.0pt;
        margin:72.0pt 72.0pt 72.0pt 72.0pt;}
div.Section1
        {page:Section1;}
-->
</style>
<!--[if gte mso 9]><xml>
 <o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
 <o:shapelayout v:ext="edit">
  <o:idmap v:ext="edit" data="1" />
 </o:shapelayout></xml><![endif]-->
</head>

<body lang=EN-GB link=blue vlink=purple>

<div class=Section1>

<p class=MsoNormal><span style='color:#1F497D'>Christian,<o:p></o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'>As for your answer, below, I
believe it is the appropriate time to say that I don’t think your facts’
narrative always entirely captures the essence of the email-thread you refer.
However, I suggest we further clarify the matter in the context of the inquiry
process in course so as to assure the situation is handled with the care,
respect and factualness it deserves.<o:p></o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'>Thanks,<o:p></o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p>

<div>

<p class=MsoNormal><span lang=PT style='color:#1F497D'>Paulo Coimbra,<o:p></o:p></span></p>

<p class=MsoNormal><span lang=PT style='color:#1F497D'><a
href="https://www.owasp.org/index.php/Main_Page"><span style='color:blue'>OWASP
Project Manager</span></a><o:p></o:p></span></p>

</div>

<p class=MsoNormal><span lang=PT style='color:#1F497D'><o:p> </o:p></span></p>

<div style='border:none;border-left:solid blue 1.5pt;padding:0cm 0cm 0cm 4.0pt'>

<div>

<div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm'>

<p class=MsoNormal><b><span lang=EN-US style='font-size:10.0pt;font-family:
"Tahoma","sans-serif"'>From:</span></b><span lang=EN-US style='font-size:10.0pt;
font-family:"Tahoma","sans-serif"'>
owasp-google-hacking-bounces@lists.owasp.org [mailto:owasp-google-hacking-bounces@lists.owasp.org]
<b>On Behalf Of </b>Christian Heinrich<br>
<b>Sent:</b> segunda-feira, 12 de Julho de 2010 00:45<br>
<b>To:</b> Jason Li<br>
<b>Cc:</b> OWASP Foundation Board List; owasp-google-hacking@lists.owasp.org;
owasp-leaders@lists.owasp.org; Global Projects Committee<br>
<b>Subject:</b> Re: [Owasp-google-hacking] [GPC] Update Needed<o:p></o:p></span></p>

</div>

</div>

<p class=MsoNormal><o:p> </o:p></p>

<p class=MsoPlainText>Jason,<o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>>> The next couple stages are the ones that would
really make a <o:p></o:p></p>

<p class=MsoPlainText>>> difference in marketing OWASP projects. The
first of these is to <o:p></o:p></p>

<p class=MsoPlainText>>> Provide a Repository. We did some preliminary
reconnaissance to try <o:p></o:p></p>

<p class=MsoPlainText>>> and get a branded Google Code hosting solution,
but we didn't get <o:p></o:p></p>

<p class=MsoPlainText>>> very far. I think this is a critical piece to
provide some <o:p></o:p></p>

<p class=MsoPlainText>>> consistency for projects. It also provides us a
safety net in cases <o:p></o:p></p>

<p class=MsoPlainText>>> where projects get abandoned. By having an
official OWASP repository, <o:p></o:p></p>

<p class=MsoPlainText>>> we'll always have the code to a project even if
a leader later <o:p></o:p></p>

<p class=MsoPlainText>>> decides to abandon it (e.g. Google Hacking). The
next of these is to <o:p></o:p></p>

<p class=MsoPlainText>>> revamp the project website and migrate existing
projects to the new <o:p></o:p></p>

<p class=MsoPlainText>>> site. That's a huge undertaking that I think is
extremely important <o:p></o:p></p>

<p class=MsoPlainText>>> to OWASP - but I'm not even sure it's worth
discussing until we get <o:p></o:p></p>

<p class=MsoPlainText>>> our ducks lined up in a row with our existing
projects.<o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>I have *never* abandoned the OWASP "Google
Hacking" Project.<o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>Coincidentally, the possible misinterpretation of
"Inactive" was discussed at the Leaders/GPC Meeting during OWASP EU
2009.<o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>To quote the current metadata i.e. "GPC_Notes = This
project has had its status changed (currently inactive) pending the outcome of
an inquiry. <!--- This project cannot longer be maintained due to the
closure of the Google SOAP Search API i.e.<o:p></o:p></p>

<p class=MsoPlainText><a
href="http://googlecode.blogspot.com/2009/08/well-earned-retirement-for-soap-search.html.---">http://googlecode.blogspot.com/2009/08/well-earned-retirement-for-soap-search.html.---</a>>"<o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>While Dinis thought that marking it as inactive might
help the current situation to demonstrate that development had ceased due to
Google deprecating their SOAP Search API to which I disagreed at HITB Amsterdam
- consequently Joe Public has misinterpreted the reason as to why the project
is inactive (i.e. which is within the HTML<o:p></o:p></p>

<p class=MsoPlainText>Comments) and that I am undergoing a disciplinary process
for abusing the OWASP Brand, etc as I have been found guilty irrespective of
the e-mails from Jeff and Dinis state.<o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>>> I'm open to suggestions on how we can either
quickly assess projects <o:p></o:p></p>

<p class=MsoPlainText>>> in a meaningful way or bypass the problem
entirely by creatively <o:p></o:p></p>

<p class=MsoPlainText>>> doing something else. I believe we had several
discussions about <o:p></o:p></p>

<p class=MsoPlainText>>> putting the carrot in front of the cart. For
example, we could simply <o:p></o:p></p>

<p class=MsoPlainText>>> create a new whiz bang website for OWASP and the
"price of admission" <o:p></o:p></p>

<p class=MsoPlainText>>> to the "endorsed" part of the website
was for a project leader to <o:p></o:p></p>

<p class=MsoPlainText>>> push his project through a mostly self-review
process. But that has <o:p></o:p></p>

<p class=MsoPlainText>>> it's own issues as self-review is not always
accurate (again, Google <o:p></o:p></p>

<p class=MsoPlainText>>> Hacking serves as a good example - Christian was
fairly quick to fill <o:p></o:p></p>

<p class=MsoPlainText>>> out the OWASP Projects Survey) and so there's
always going to be a <o:p></o:p></p>

<p class=MsoPlainText>>> need for external review. And that external
review will be a <o:p></o:p></p>

<p class=MsoPlainText>>> bottleneck for anyone trying to push to the next
tier.<o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>You can't state that I lied considering the survey, i.e <a
href="https://spreadsheets.google.com/ccc?key=pJzNU1yNJd7VBH1bS6rY0EQ&hl=en">https://spreadsheets.google.com/ccc?key=pJzNU1yNJd7VBH1bS6rY0EQ&hl=en#</a>,<o:p></o:p></p>

<p class=MsoPlainText> was a snapshot at a particular time (i.e March
2009) which didn't have any questions concerning what difficulties are faced by
"new"<o:p></o:p></p>

<p class=MsoPlainText>project leaders i.e. those whose are managing their first
OWASP Project without local support from senior OWASP Members i.e. Only Justin
Derry was available in Australia during this time and while he offered to
assist this was not extended post the OWASP Australian 2009 Conference fallout
with the OWASP Board.<o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>Had you have asked for a history of the
difficulties/unknowns etc within the survey the GPC would have also known:<o:p></o:p></p>

<p class=MsoPlainText>1. Chris Gates (metasploit), PDP (GNUCitizen) and Glen
Roberts<o:p></o:p></p>

<p class=MsoPlainText>(Solutionary) had nominated themselves to review the project
but according to an e-mail thread between Paulo and I (from September 2008
until January 2009) were unable to review the project on behalf of OWASP as
they were not OWASP members.  Subsequently, they all had to submit CV for
the Board to approve (for some reason the GPC can't approve them) and I was not
willing to pass on this request as it was insulting to their standing within
the community and offer to volunteer their time.  In Paulo's defense he
was distracted with preparing for the OWASP Summit in Portugal during this time
and apologies when he responded to each e-mail.<o:p></o:p></p>

<p class=MsoPlainText>2. As I was unable to locate an OWASP reviewer I deleted
the repository as I was unsure if OWASP had any interest reviewing the project
due to the deprecation of the SOAP Search API, the fact that it was PoC v0.1,
etc but held onto the namespace if this changed.<o:p></o:p></p>

<p class=MsoPlainText>3.  That stated, Tom Brennan trying to kill the
project was inferred in my response to "If not, what is the reason that
you do not wish to be considered for industry partnership?" based on an
e-mail thread with Paulo and I during August 2008 but I am now confused on
OWASP position on condoning the violation of Google's Terms of Service in light
of claiming to be "open".<o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>Post this survey (i.e. at OWASP EU 2008), the GPC did not
want to discuss my project when I am raised that I had rescheduled the release
from RUXCON 2K8 as per the survey i.e. during the Leaders/GPC Meeting i.e. <a
href="http://www.flickr.com/photos/appseceu09/">http://www.flickr.com/photos/appseceu09/</a>,
rather the discussion focused on the consequence of marking projects inactive,
etc which I mentioned above.<o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>I also received IN-CONFIDENCE information on the Google
SOAP Search API (i.e. it wasn't deprecated because of the AJAX Search API) from
Tavis Ormandy (Google) during CONFidence 2009 which I made Dinis aware of.<o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>Finally, the deprecation of the SOAP Search API in
September 2009 occurs *after* OWASP finally decides to review the project i.e.<o:p></o:p></p>

<p class=MsoPlainText><a
href="https://lists.owasp.org/pipermail/owasp-google-hacking/2009-October/000004.html">https://lists.owasp.org/pipermail/owasp-google-hacking/2009-October/000004.html</a><o:p></o:p></p>

<p class=MsoPlainText>- neither was I contacted in March 2010.<o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>>> Ironically, the whole Google Hacking situation
is a great lens to <o:p></o:p></p>

<p class=MsoPlainText>>> view our efforts through. The problems OWASP is
dealing with right <o:p></o:p></p>

<p class=MsoPlainText>>> now for that project are exactly the problems we
were thinking about <o:p></o:p></p>

<p class=MsoPlainText>>> when we started our agenda... if we can only
make some faster <o:p></o:p></p>

<p class=MsoPlainText>>> progress, we might be able to preempt this kind
of event in the future.<o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>These are some of the recommendations from the response
that I will be shortly releasing:<o:p></o:p></p>

<p class=MsoPlainText>1. Relocate the responsibility of selecting Project
Reviewer who are not OWASP members from the board to the GPC.<o:p></o:p></p>

<p class=MsoPlainText>2. Create additional metadata which communicates that
unique projects with a limited shelf life, such as the OWASP "Google
Hacking" Project.<o:p></o:p></p>

<p class=MsoPlainText>3. Each OWASP Project should be reviewed based on a
schedule (i.e. not by signaling that it is ready for review) which could be
timeslice across all other projects.<o:p></o:p></p>

<p class=MsoPlainText>4. Reconsider Andrew van der Stock's proposal to become a
full time employee 5. Remove members from the GPC would are also leaders of
significant projects i.e. it should consist of a majority of dedicated
reviewers only.<o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>--<o:p></o:p></p>

<p class=MsoPlainText>Regards,<o:p></o:p></p>

<p class=MsoPlainText>Christian Heinrich - <a
href="http://www.owasp.org/index.php/user:cmlh">http://www.owasp.org/index.php/user:cmlh</a><o:p></o:p></p>

<p class=MsoPlainText>OWASP "Google Hacking" Project Lead - <a
href="http://sn.im/owasp_google_hacking">http://sn.im/owasp_google_hacking</a>
_______________________________________________<o:p></o:p></p>

<p class=MsoPlainText>Owasp-google-hacking mailing list<o:p></o:p></p>

<p class=MsoPlainText><a href="mailto:Owasp-google-hacking@lists.owasp.org">Owasp-google-hacking@lists.owasp.org</a><o:p></o:p></p>

<p class=MsoPlainText><a
href="https://lists.owasp.org/mailman/listinfo/owasp-google-hacking">https://lists.owasp.org/mailman/listinfo/owasp-google-hacking</a><o:p></o:p></p>

</div>

</div>

</body>

</html>