<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:x="urn:schemas-microsoft-com:office:excel" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=iso-8859-1"><meta name=Generator content="Microsoft Word 12 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
        {mso-style-priority:99;
        mso-style-link:"Balloon Text Char";
        margin:0cm;
        margin-bottom:.0001pt;
        font-size:8.0pt;
        font-family:"Tahoma","sans-serif";}
span.BalloonTextChar
        {mso-style-name:"Balloon Text Char";
        mso-style-priority:99;
        mso-style-link:"Balloon Text";
        font-family:"Tahoma","sans-serif";}
span.TextodebaloCarcter
        {mso-style-name:"Texto de balão Carácter";
        mso-style-priority:99;
        mso-style-link:"Texto de balão";
        font-family:"Tahoma","sans-serif";}
p.Textodebalo, li.Textodebalo, div.Textodebalo
        {mso-style-name:"Texto de balão";
        mso-style-link:"Texto de balão Carácter";
        margin:0cm;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
span.EmailStyle21
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.EmailStyle22
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.EmailStyle23
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.EmailStyle24
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:72.0pt 72.0pt 72.0pt 72.0pt;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-GB link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span lang=PT style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Board,<o:p></o:p></span></p><p class=MsoNormal><span lang=PT style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Please allow me to step in to share a couple of thoughts regarding this ‘Yiannis’ episode since I have dealt directly with him in a few social and professional occasions, and, being so, have built a certainly subjective but nonetheless firm idea of his personality and I am feeling that it would not be fair to allow that Dinis alone supports the burden/responsibility for the current disruptive frame.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>To be absolutely clear and for what it’s worth I have formed the idea that Yannis is tremendously complicated and inconsequent/incoherent. I’ve reached this conclusion through a few episodes but I’d like to keep the focus on two main ones.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>As for the first one, roughly a year ago or so, when Yiannis decided that his project should be assessed, he contacted m</span><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>e</span><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'> insistently several times and vividly proposed we had lunch together to talk about it. Because I am always a bit swamped with my daily routines I tried to manage the issue through email as I always do but, given his insistence, I ultimately agreed and we met for lunch in central London. To say it as clear as possible, I have returned from the meeting with lots of perplexity since most of the time what Yiannis said hardly made any sense to me. If I understood well his speech he has advanced a thesis under which OWASP has been doing everything completely wrong and the entire community of app sec professionals, if not the entire world, was of his opinion. I’ve tried several times to ask him about concrete mistakes and responsibilities but in my opinion I have only got a set of reasonably incoherent mumbles. He jumped from saying that OWASP was being severely criticized by appec professionals to that OWASP’s path was not correct - I have however never concretely understood what the appec professionals were saying about OWASP or why the strategic direction of OWASP was so obviously wrong. Nevertheless I have opted for not supporting his vision and for encouraging him to address the leaders’ mailing list to discuss his concerns by saying I believed OWASP was an open organization in which the open debate was not only allowed but deeply stimulated. I also tried to change the chat’s theme to the operational questions we had to solve regarding the need to evaluate the projects he was leading.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Given this behaviour I have returned from this meeting puzzled and asking myself whether or not I had been in situation in which an OWASP contributor tried to evangelize and kettle me to some sort of ‘OWASP unhappy people’ club. I have also reflected if Yiannis was thinking in building an alternative to the current Board but ended up concluding that his speech was not enough structured, coherent or even legible to be the case. I’ve talked about this situation with Dinis and let him know about these subjective impressions of mine. <o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>As for the second episode, it relates to the assessment process itself. However, as a previous point, I’d like to say that I have felt that working with Yiannis is tremendously difficult and that I have only </span><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>experienced</span><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'> such burdensome when working with M. Boberski. So, to begin with and in Yiannis defence, I think it would only be fair if we kept in mind that the assessment of his project has begun when the GPC was updating its methodologies and that consequently he may have been, to a certain extent, victim of this circumstance. However, that being said, I am of the opinion that Yiannis was always absolutely non-collaborative. For example, he has kept himself insisting that his project should be assessed (and I always understood that he was saying his project should be immediately moved to Stable Quality) but it was a true nightmare to make him to accept that this process should begin by himself performing his own release assessment. Every single request we made, little or big, was always, but always, contested by him and this has gone through until he addressed our leaders mailing with an inflammatory mail (attached) with the illustrative subject of ‘Would the real OWASP please stand up!’ basically complaining about OWASP methodologies. In this time, I have told to him directly that requesting a couple of files (PDF + PPT), a roadmap and a self-assessment, in my view, couldn’t be seen as an asphyxiant burden of bureaucratic work. I am still of the same opinion, and I can say from my experience doing this work, that people usually don’t complain. <o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>To conclude – I apologise for this long email – I’d like to synthesize my view by saying that in my subjective assessment Yiannis has shown to be a tremendously complicated person to deal with. I don’t know why but it clearly seems to me that something has antagonized him towards OWASP and that this antagonism has never stopped growing.   <o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Thanks,<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>- Paulo<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Paulo Coimbra,<o:p></o:p></span></p><p class=MsoNormal><span lang=PT style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><a href="http://www.owasp.org/index.php/User:Paulo_Coimbra"><span lang=EN-GB>OWASP Project Manager</span></a></span><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><div style='border:none;border-left:solid blue 1.5pt;padding:0cm 0cm 0cm 4.0pt'><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm'><p class=MsoNormal><b><span lang=EN-US style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From:</span></b><span lang=EN-US style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> <a href="mailto:owasp-board-bounces@lists.owasp.org">owasp-board-bounces@lists.owasp.org</a> <a href="mailto:[mailto:owasp-board-bounces@lists.owasp.org]">[mailto:owasp-board-bounces@lists.owasp.org]</a> <b>On Behalf Of </b>Eoin<br><b>Sent:</b> quinta-feira, 27 de Janeiro de 2011 15:26<br><b>To:</b> OWASP Foundation Board List<br><b>Subject:</b> Re: [Owasp-board] My resignation from all owasp matters<o:p></o:p></span></p></div></div><p class=MsoNormal><o:p> </o:p></p><div><p class=MsoNormal>The board is "corrupt" according to Yiannis. (below)?!!<o:p></o:p></p></div><div><p class=MsoNormal> <o:p></o:p></p></div><div><p class=MsoNormal>Did this need to get to this point.<o:p></o:p></p></div><div><p class=MsoNormal> <o:p></o:p></p></div><div><p class=MsoNormal>Again as leaders we need to listen more and not dictate.<o:p></o:p></p></div><div><p class=MsoNormal>First Mike Boberski now Yiannis....Houston we've got a problem.<o:p></o:p></p></div><div><p class=MsoNormal><br> <o:p></o:p></p></div><div><p class=MsoNormal>On 26 January 2011 20:59, Yiannis Pavlosoglou <<a href="mailto:yiannis@owasp.org">yiannis@owasp.org</a>> wrote:<o:p></o:p></p><p class=MsoNormal>Hey,<br><br>Not for me, I've taken the easy option and I am out; change this place<br>if you can; some people do deserve to see it and I think you get<br>what's happening.<br><br>Cheers,<br><br>---------- Forwarded message ----------<br>From: Yiannis Pavlosoglou <<a href="mailto:yiannis@owasp.org">yiannis@owasp.org</a>><br>Date: 26 January 2011 20:46<br>Subject: Re: My resignation from all owasp matters<br>To: Lorna Alamri <<a href="mailto:lorna.alamri@owasp.org">lorna.alamri@owasp.org</a>><br>Cc: Colin Watson <<a href="mailto:colin.watson@owasp.org">colin.watson@owasp.org</a>>, Joe Bernik<br><<a href="mailto:bernik@gmail.com">bernik@gmail.com</a>>, "rex.booth" <<a href="mailto:rex.booth@us.gt.com">rex.booth@us.gt.com</a>>, David Campbell<br><<a href="mailto:dcampbell@owasp.org">dcampbell@owasp.org</a>>, Georg Heß <<a href="mailto:georg.hess@artofdefence.com">georg.hess@artofdefence.com</a>>, Sarah<br>Baso <<a href="mailto:sarah.baso@owasp.org">sarah.baso@owasp.org</a>><br><br><br>My apologies Lorna,<br><br>There is a cardinal rule in information security, at least among my<br>peers: you do not lie. Actually, here in London it has consequences,<br>if you do lie, you don't work in this industry any more. Think about<br>that, think about how many times you've been lied to in, say, the last<br>3 months.<br><br>You know better than most on this email, that we've spent a lot of<br>time collecting logs, cross-correlating our actions, making sure we<br>document what we do, one-to-one phone calls, etc. For what? Jeff<br>decides and Dinis manipulates.<br><br>Bigger matters, like O2 and the money spent preaching about it, plus<br>financial discrepancies (! we are a charity remember?) have not even<br>been hinted upon, yet. People on this thread know exactly what I am<br>talking about.<br><br>My personal opinion is that the owasp board needs to be dissolved and<br>a new governing body needs to be established. They are far too<br>corrupt!<br><br>Regardless, we've shown what the problem is, we offered to address it<br>and we've proven where they should start. Now, all that said, don't we<br>have better things to do?<br><br>Please let's leave it at that as I don't plan on following up on this<br>thread (I don't even know how long this account will be active for:)<br><br>Thank you,<br><br>Yiannis<br><br>On 26 January 2011 15:26, Lorna Alamri <<a href="mailto:lorna.alamri@owasp.org">lorna.alamri@owasp.org</a>> wrote:<br>> Yiannis,<br>> I understand your frustration and disgust, however I respectfully disagree<br>> with your approach to a resolution. You are a respected OWASP leader that<br>> many of us, myself especially, look to for guidance, so I am disappointed<br>> that you will not be at the Summit to participate and bring these issues to<br>> the large group for open discussion and resolution. There are several<br>> working sessions at the Summit with a focus on some of the issues you have<br>> eluded to in your e-mail.<br>> As example:<br>><br>> OWASP Board/Committee Governance<br>> Professionalize OWASP<br>> Should OWASP hire a Chief Executive Officer (CEO)?<br>><br>> From that and some of the strings on the leaders list I am sure that you are<br>> not the only one with these concerns. As a leader, its your obligation to be<br>> heard, not just by the board, but by the other leaders who will be assembled<br>> at the Summit. If we were all to throw our hands up in disgust and walk away<br>> there would be no OWASP, but is that really a solution? Does it fix<br>> anything? no. So I am asking you to lead by example, to come to the Summit<br>> and work to right those issues that are so frustrating you.<br>> I will support you in whatever your decision ultimately is, but hope that<br>> you will reconsider.<br>> Sincerely,<br>> Lorna<br>><br>><br>><br>><br>> On Tue, Jan 25, 2011 at 12:20 PM, Yiannis Pavlosoglou <<a href="mailto:yiannis@owasp.org">yiannis@owasp.org</a>><br>> wrote:<br>>><br>>> Dear all,<br>>><br>>> This email carries the news that I am resigning from all owasp related<br>>> matters. We don't really have a resignation process, so this is the<br>>> closest that we will come to this.<br>>><br>>> My work is done here; I feel that we have proved what the problem is.<br>>><br>>> The reason is simple; in recent events we proved that on more than one<br>>> occasion we dealt with a board member that was lying, cheating and<br>>> insulting people in the process. When the response finally came back<br>>> on "we have an issue unfolding" it was along the lines of "we are all<br>>> under a lot of pressure" and "let's all try to be friends". Not good<br>>> enough for me.<br>>><br>>> This is under your umbrella of being "open" and on the excuse of<br>>> organizing a summit.<br>>><br>>> Unfortunately, I am so entrenched in the processes that it will not<br>>> take a single step.<br>>><br>>> * I am not be coming to the summit.<br>>> * I will be giving this last lecture here in London<br>>> * I will probably continue contributing some code to various projects<br>>><br>>> When Dinis emailed "subere" to make JBroFuzz an owasp project (that's<br>>> how owasp started for me believe it or not!) many years back, I went<br>>> and read the mission statement before signing up. No where did it say<br>>> that there is a monarchy at the very top, nor that all this is<br>>> excusable on the fact that we are volunteers.<br>>><br>>> For the record, you're a good crowd and I did attempt not to let the<br>>> BS filter through. Apologies if this comes as a surprise to a few.<br>>><br>>> Yiannis signing off.<br>>><br>>><br>>> --<br>>> Dr. Yiannis Pavlosoglou<br>>> OWASP Global Industry Committee<br>>> <a href="http://www.owasp.org/index.php/Global_Industry_Committee" target="_blank">http://www.owasp.org/index.php/Global_Industry_Committee</a><br>><br>><br>><br>> --<br>> Lorna Alamri<br>> OWASP Global Industry Committee<br>> OWASP MSP: Host to OWASP AppSec USA 2011<br>> September 20-23 Training, Talks, CTF, and Showroom<br>> <a href="http://www.appsecusa.org/" target="_blank">www.appsecusa.org</a><br>> @appsecusa, @owaspmsp @OWASPSummit<br>> Dir: 651-338-0243<br>> skype: lorna.alamri<br>> <a href="mailto:lorna.alamri@owasp.org">lorna.alamri@owasp.org</a><br>><br><br><br><br>--<br>Dr. Yiannis Pavlosoglou<br>OWASP Global Industry Committee<br><a href="http://www.owasp.org/index.php/Global_Industry_Committee" target="_blank">http://www.owasp.org/index.php/Global_Industry_Committee</a><br><span style='color:#888888'><br><br><br>--<br>Dr. Yiannis Pavlosoglou<br>OWASP Global Industry Committee<br><a href="http://www.owasp.org/index.php/Global_Industry_Committee" target="_blank">http://www.owasp.org/index.php/Global_Industry_Committee</a></span><o:p></o:p></p></div><p class=MsoNormal><br><br clear=all><br>-- <br>Eoin Keary<br>OWASP Global Board Member<br>OWASP Code Review Guide Lead Author<br><br>Sent from my i-Transmogrifier<br><a href="http://asg.ie/">http://asg.ie/</a><br><a href="https://twitter.com/EoinKeary">https://twitter.com/EoinKeary</a><o:p></o:p></p></div></div></body></html>