Jim,<div><br></div><div>You have a habit of "saying your peace and moving on" that as if it that somehow makes it OK.</div><div><br></div><div>If you think there's an issue, then let's flesh it out and address it together. It's extremely easy to walk up to any situation and poke holes and point out problems (the security industry as a whole is very good at this). It's much more difficult to stay and actually try to solve those problems. The devil is in the details and that's when you realize there are a lot of complexities to the issues. If you want to point something out - that's fine. And if you really truly want to walk away from things afterwards, that's your prerogative. But yelling to everyone "ANSWER MY QUESTION!!!!", and walking away from the conversation before someone can answer is ludicrous. So I'll repeat my previous statement - let's <span>have a responsible, measured conversation about projects.</span></div>


<div><br></div><div>Having said that - I want to address several things right out of the bat from a scope perspective.</div><div><br></div><div>I am not the leader of the AntiSamy project - I've been a contributor, just like you have been a contributor to ESAPI, several Cheat Sheets, etc. Even if I was though, I think you, the Board and the rest of the committee chairs know that I am very good at compartmentalizing my responsibilities and calling it as I see it. When I wear my OWASP hat or my GPC hat, I will act in the interest of that hat and I've had no issues calling out co-workers and colleagues in the past when wearing my various hats.</div>

<div><br></div><div>Wearing my AntiSamy hat, I'll simply reiterate what Arshan (project leader) has communicated to me. The patch in question addresses a minor, non-functionality related issue that he intends to incorporate into the next release which, as he stated on thread, is several months out. While the patch is greatly appreciated, like most OWASP volunteers, he does not have the benefit of unlimited time to work on OWASP. Seeing as it's not a critical functional issue, he has not placed an extremely high priority on incorporating the patch.</div>


<div><br></div><div>Now, wearing my GPC hat, it's a project leader's responsibility to set the speed and direction that they want to move at and we (as OWASP) would be very hard pressed to impose any kind of time requirement on our volunteers.</div>

<div><br></div><div>All OWASP projects are run by volunteers. As others (including yourself) have pointed out, we have an entire portfolio of projects that are either stagnant or moving at a snail's pace. But that's the nature of volunteer projects - they're inherently dependent on an extremely passionate project leader to keep the project going. In theory, open source allows anyone to pick up the code and keep going with it. But in reality, it doesn't actually work that way. To date, I'm not aware of *any* OWASP code project that has been successfully "adopted" by a new leader (i.e. created a follow-on release from the codebase) UNLESS that new leader came from within the existing project (e.g. JBroFuzz, ESAPI). Likewise, for documentation projects, the only projects that I'm aware of that continued successfully with new leaders outside the project are the OWASP Development Guide and the OWASP Testing Guide - and those were largely due to the extraordinarily passionate efforts of Andrew, Eoin, Matteo, et al. And even those two projects are currently in a state of slow motion.</div>

<div><br></div><div>So the constructive conversation I would like to have - and the one the GPC has been trying to pursue - is how do we support the passionate volunteers that choose to continue their work, and acknowledge the fact that some folks have made their contribution but their ability to contribute further is limited? We have some ideas - and I had a very informative conversation with John Wilander the other week, which has given me some more things to consider. There's a lot of excitement right now about OWASP's acceptance as a Google Summer of Code mentoring organization and hopefully that's a first step to inspire some project participation. As I suggested in a different thread to the Board, I think that can potentially be a catalyst for a tangible means of encouraging project contributions.</div>

<div><br></div><div>But I'm positively certain that calling people out and complaining to the Board is NOT the way to encourage more participation from our volunteers...</div><div><br></div><div>-Jason</div><div><br>
</div>
<div>P.S. I want to clarify "flagship" status as something that we as the GPC are still aspiring to. In general, the GPC goal is not to be in the business of imposing on our volunteers. As a a result, we're trying to encourage project maturity by offering increasing carrots that are driven by community voting/feedback. A set of projects have been identified as potential targets for preliminary flagship status, but we have not yet established the project review platform to drive these benefits, let alone approached *any* of those projects in consideration to ask whether or not they would agree to being considered a flagship project.<br>

<br class="Apple-interchange-newline"><div class="gmail_quote">On Tue, Mar 20, 2012 at 1:25 PM, Jim Manico <span dir="ltr"><<a href="mailto:jim.manico@owasp.org" target="_blank">jim.manico@owasp.org</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div bgcolor="#FFFFFF"><div><span>It took •three months• for you to respond, Jason. There is no excuse for that kind of treatment of the OWASP community, especially ones bearing patches. Especially for projects supposedly co-run by our "project committee chair". In my opinion its a symptom of a deeper disease.k</span></div>



<div><br></div><div>I do not expect either you to agree with me, or even take additional action. I said my peace and I am now moving on. <div><br><br><div>--</div><div>Jim Manico</div><div><a href="tel:%28808%29%20652-3805" value="+18086523805" target="_blank">(808) 652-3805</a></div>


</div></div><div><div><div><br>On Mar 20, 2012, at 5:56 PM, Jason Li <<a href="mailto:jason.li@owasp.org" target="_blank">jason.li@owasp.org</a>> wrote:<br>
<br></div><div></div><blockquote type="cite"><div><div>Jim,</div><div><br></div><div>You're talking about issues that are slightly out of context of the AntiSamy project and fixated on the notion of flagship status.</div>



<div><br></div><div>Projects are driven by leaders and it should not be the goal or desire of the GPC or the Board to be managing minutiae like change control. Ironically, projects is an area where I support your federalist/states rights perspective of OWASP - we have to be cognizant of what we're doing to *support* projects versus *impose* on projects.</div>



<div><br></div><div>Remember that all project leaders are volunteers - just because a patch hasn't been accepted doesn't mean a project leader is ignoring the issue OR is somehow "undeserving" of the "benefit" of OWASP (which btw, the tangible concrete benefit that any given project *currently* gets at OWASP is negligible). Do we need to find a way to address user concerns? Yes. But trying to "force" or "escalate" a volunteer to do something is not constructive.</div>



<div><span><br></span></div><div><span>I want to reply with more detail and context but I honestly don't have time to so that this week and I don't want you to keep fanning flames on this thread in the meantime. </span><span>I promise to respond to this thread to clarify what flagship is, what the reasonable limits of OWASP are, and then we can have a responsible, measured conversation about projects.</span></div>



<div><span><br></span></div><div><span>-Jason</span></div><div><br>On Mar 20, 2012, at 11:32 AM, Jim Manico <<a href="mailto:jim.manico@owasp.org" target="_blank">jim.manico@owasp.org</a>> wrote:<br>
<br></div><div></div><blockquote type="cite"><div><div>It still took three months for him to respond. As a flagship OWASP project (that includes our project chair as a co-lead) I'm still very concerned that it took so long for a simple acknowledgement of a (very good) contribution/patch.</div>




<div><br></div><div>Perhaps we should add one-week turnaround time for support as core criteria needed to maintain "flagship project status".</div><div><br></div><div><div>--</div><div>Jim Manico</div><div><a href="tel:%28808%29%20652-3805" value="+18086523805" target="_blank">(808) 652-3805</a></div>




</div><div><br>On Mar 20, 2012, at 3:08 PM, Dave Wichers <<a href="mailto:dave.wichers@owasp.org" target="_blank">dave.wichers@owasp.org</a>> wrote:<br><br></div><div></div><blockquote type="cite"><div><div><p class="MsoNormal">


<span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Jim,</span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span></p>




<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Arshan is in communication with Sean and this is being worked.</span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span></p>




<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">-Dave</span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span></p>




<div><div style="border:none;border-top:solid #b5c4df 1.0pt;padding:3.0pt 0in 0in 0in"><p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> <a href="mailto:owasp-board-bounces@lists.owasp.org" target="_blank">owasp-board-bounces@lists.owasp.org</a> [mailto:<a href="mailto:owasp-board-bounces@lists.owasp.org" target="_blank">owasp-board-bounces@lists.owasp.org</a>] <b>On Behalf Of </b>Jim Manico<br>




<b>Sent:</b> Monday, March 19, 2012 6:00 PM<br><b>To:</b> OWASP Foundation Board List; <a href="mailto:ssullivan@gilt.com" target="_blank">ssullivan@gilt.com</a><br><b>Subject:</b> [Owasp-board] Fwd: [owasp-antisamy] AntiSamy Java library: internationalcharacters / issue 121</span></p>




</div></div><p class="MsoNormal"> </p><div><p class="MsoNormal">Sean Sullivan has been •begging• to the OWASP AntiSamy project to even acknowledge his patch and contribution, see below. He first submitted this Dec 2011 and has gotten no response from Jason Li or Arshan D.</p>




</div><div><p class="MsoNormal"> </p></div><div><p class="MsoNormal"><span>Since we claim AntiSamy to be a "flagship project" I cry foul and ask the board to step in.</span></p></div><div>

<p class="MsoNormal"> </p><div><p class="MsoNormal">--</p></div><div><p class="MsoNormal">Jim Manico</p></div><div><p class="MsoNormal"><a href="tel:%28808%29%20652-3805" value="+18086523805" target="_blank">(808) 652-3805</a></p>


</div></div><div><p class="MsoNormal"> </p></div><blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<div><p class="MsoNormal" style="margin-bottom:12.0pt"><b>From:</b> Sean Sullivan <<a href="mailto:ssullivan@gilt.com" target="_blank">ssullivan@gilt.com</a>><br><b>Date:</b> March 19, 2012 10:43:45 PM GMT+01:00<br>


<b>To:</b> <a href="mailto:Owasp-antisamy@lists.owasp.org" target="_blank">Owasp-antisamy@lists.owasp.org</a><br>

<b>Subject:</b> <b>Re: [owasp-antisamy] AntiSamy Java library: internationalcharacters / issue 121</b></p></div></blockquote><blockquote style="margin-top:5.0pt;margin-bottom:5.0pt"><div><div><p class="MsoNormal"> </p></div>




<div><p class="MsoNormal">Is there anything I can do to help resolve issue #121?</p></div><div><p class="MsoNormal"> </p></div><div><p class="MsoNormal">Sean</p></div><div><p class="MsoNormal" style="margin-bottom:12.0pt">




 </p><div><p class="MsoNormal">On Tue, Mar 6, 2012 at 9:00 AM, Sean Sullivan <<a href="mailto:ssullivan@gilt.com" target="_blank">ssullivan@gilt.com</a>> wrote:</p><div><p class="MsoNormal"> </p></div><p class="MsoNormal">


Hello,</p>

<div><p class="MsoNormal"> </p></div><div><p class="MsoNormal">I just looked at Subversion trunk and noticed that my patch (issue # 121) is still pending:</p></div><div><p class="MsoNormal"> </p></div><div><p class="MsoNormal">




   <a href="http://code.google.com/p/owaspantisamy/source/list" target="_blank">http://code.google.com/p/owaspantisamy/source/list</a></p></div><div><p class="MsoNormal"> </p></div><div><div><p class="MsoNormal">   <a href="http://code.google.com/p/owaspantisamy/issues/detail?id=121" target="_blank">http://code.google.com/p/owaspantisamy/issues/detail?id=121</a></p>




<p class="MsoNormal"> </p></div></div><div><p class="MsoNormal">Is there anything I can do to help?</p></div><div><p class="MsoNormal"><span style="color:#888888"> </span></p></div><div><p class="MsoNormal"><span style="color:#888888">Sean</span></p>




</div><div><p class="MsoNormal" style="margin-bottom:12.0pt"> </p><div><div><p class="MsoNormal">On Wed, Feb 22, 2012 at 5:17 PM, Arshan Dabirsiaghi <<a href="mailto:arshan.dabirsiaghi@aspectsecurity.com" target="_blank">arshan.dabirsiaghi@aspectsecurity.com</a>> wrote:</p>




</div><div><div><blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in"><div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Sorry for the delay; the patch looks good. It will probably be in HEAD in a few days after I do some testing and get it into the next minor release, which I hope to make in the next month or two. We just brought a new little AntiSamy into the world, so time has been tight.</span></p>




<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Thanks,</span></p>




<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Arshan</span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span></p>




<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> <a href="mailto:owasp-antisamy-bounces@lists.owasp.org" target="_blank">owasp-antisamy-bounces@lists.owasp.org</a> [mailto:<a href="mailto:owasp-antisamy-bounces@lists.owasp.org" target="_blank">owasp-antisamy-bounces@lists.owasp.org</a>] <b>On Behalf Of </b>Sean Sullivan<br>




<b>Sent:</b> Wednesday, February 22, 2012 2:29 PM<br><b>To:</b> <a href="mailto:Owasp-antisamy@lists.owasp.org" target="_blank">Owasp-antisamy@lists.owasp.org</a><br><b>Subject:</b> Re: [owasp-antisamy] AntiSamy Java library: internationalcharacters / issue 121</span></p>




<div><div><p class="MsoNormal"> </p><p class="MsoNormal">Hello,</p><div><p class="MsoNormal"> </p></div><div><p class="MsoNormal">Is there anything I can do to help get this patch accepted?</p></div>

<div><p class="MsoNormal"> </p></div><div><p class="MsoNormal">Sean</p></div><div><p class="MsoNormal" style="margin-bottom:12.0pt"> </p><div><p class="MsoNormal">On Fri, Feb 17, 2012 at 4:21 PM, Sean Sullivan <<a href="mailto:ssullivan@gilt.com" target="_blank">ssullivan@gilt.com</a>> wrote:</p>




<div><p class="MsoNormal"> </p></div><div><p class="MsoNormal">In December 2011, I submitted a patch for AntiSamy's Java library:</p></div><div><p class="MsoNormal"> </p><div><p class="MsoNormal">

<a href="http://code.google.com/p/owaspantisamy/issues/detail?id=121" target="_blank">http://code.google.com/p/owaspantisamy/issues/detail?id=121</a></p></div><div><p class="MsoNormal"> </p></div></div><div><p class="MsoNormal">




 </p></div><div><p class="MsoNormal">The issue's status has not changed since I submitted it.  Is there anything I can do to help get this patch accepted?</p></div><div><p class="MsoNormal"><span style="color:#888888"> </span></p>




</div><div><p class="MsoNormal"><span style="color:#888888">Sean</span></p></div><div><p class="MsoNormal"><span style="color:#888888"> </span></p></div></div><p class="MsoNormal"> </p></div></div></div>

</div></div></blockquote></div></div></div><p class="MsoNormal"> </p></div></div><p class="MsoNormal"> </p></div></div></blockquote><blockquote style="margin-top:5.0pt;margin-bottom:5.0pt"><div><p class="MsoNormal">_______________________________________________<br>




Owasp-antisamy mailing list<br><a href="mailto:Owasp-antisamy@lists.owasp.org" target="_blank">Owasp-antisamy@lists.owasp.org</a><br><a href="https://lists.owasp.org/mailman/listinfo/owasp-antisamy" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-antisamy</a></p>




</div></blockquote></div></div></blockquote>
</div></blockquote><blockquote type="cite"><div><span>_______________________________________________</span><br><span>Owasp-board mailing list</span><br><span><a href="mailto:Owasp-board@lists.owasp.org" target="_blank">Owasp-board@lists.owasp.org</a></span><br>



<span><a href="https://lists.owasp.org/mailman/listinfo/owasp-board" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a></span><br></div></blockquote></div></blockquote></div></div></div>
</blockquote></div><br></div>