<div>Hi Tom,</div>
<div> </div>
<div>Hope prague is treating you well? :)</div>
<div> </div>
<div>BCC Risk Advisory is supporting OWASP Ireland as a sponsor of the event.</div>
<div>We also devote 100's of hours a year to owasp meetings, conference organisation, presentations, free training.</div>
<div>BCC Risk Advisory also cover a few thousand euro a year to pay for expenses associated with attending conferences.</div>
<div>This summer we hope to hire an intern to develop a grey-box tool which shall be donated to OWASP.</div>
<div>My time on the board and also a huge amount of time to manage the project reboot shall be covered by BCC. </div>
<div> </div>
<div>Does this answer your question?</div>
<div>Eoin</div>
<div> </div>
<div> </div>
<div><br><br> </div>
<div class="gmail_quote">On Thu, Apr 12, 2012 at 11:34 AM, Tom Brennan <span dir="ltr"><<a href="mailto:tomb@owasp.org">tomb@owasp.org</a>></span> wrote:<br>
<blockquote style="BORDER-LEFT:#ccc 1px solid;MARGIN:0px 0px 0px 0.8ex;PADDING-LEFT:1ex" class="gmail_quote">Board,<br><br>Hello from Prague!  Was nice to be presenting OWASP in front of 100+ people who NEVER HEARD OF OWASP  but very familiar with platform based weapons, nuclear plants go figure - we have a lot more work to do.<br>
<br>==<br><br>Wanted to chime in on this thread with a little detail and big picture thinking..  OWASP was known to many outside the OWASP Forest as a "bunch of consultants that are trying to tell developers and security people how to do security"  over the years since 2001 we have grown - 11 years changes dynamics and this image has changed even to ebrace SOFTWARE SECURITY (notice I did not say just Web Applications).<br>
<br>This has been discussed at Trustwave as a example internally and I will share that we fund the project(s) and support many active leaders TIME via employment of staff and allowing them to bill to a internal project code for there time including chapters when it is during normal working hours - attending conferences etc.. This helps them (the company) understand the investment in the community not only monetarily with a 5k donation  but also with the most precious resource, TIME.  I believe this practice may be similar with other corporate supporters,  my former employer WhiteHat Security had a similar model -- inquires of our other corporate supporters <a href="https://www.owasp.org/index.php/Template:OWASP_Members_Horizontal" target="_blank">https://www.owasp.org/index.php/Template:OWASP_Members_Horizontal</a><br>
<br>I am very interested in Dave's view here, considering that as a founder of Aspect Security the company that has multiple projects at OWASP, donated thousands of employee hours to OWASP Foundation and sits on the board of directors.<br>
<br>Matt, do you have something similar at RackSpace?<br>Mike does Mozilla?<br>Eoin at BCC Risk?<br>Seba <don't know even where you work or if your a independent?><br><br>This ELEPHANT IN THE ROOM is critically important and full disclosure and transparency is something we preach-lets start with the board and associated committees. It is not about how long or loud people are on a mailing list IMHO we have filters and rules for that...  It is not about what was, what is or what will be... the purpose of the Board of Directors is to keep the organization on the rails on on mission in line with the core values and principals and when we want to "Pay People" as a simple example; we need to look at the <a href="https://www.owasp.org/index.php/About_OWASP" target="_blank">https://www.owasp.org/index.php/About_OWASP</a> page to remind ourselves are we inbounds or out-of-bounds -- that is the purpose of service on a board of directors if we are going to "vote" on things without conflict of outside influence and adjust course as needed.<br>
<br>Once we establish that, you might agree that this would be a good topic for the industry committee in parallel (both service provider and industry firms) and the the connections committee to survey and reports results. (Date needs to be defined via OWASP Director if the mission is accepted -- we do a terrible job in setting and meeting deadlines when we have hot topics like this --- face it.)    The results can help us shape a better value statement around "membership" but also help us with answering the question of "Ways ABC Company works with OWASP"  - "Ways ABC Individual works with OWASP" with this transparency goal and "best practice".  This effort is just as important as our most technical project as to foster desired behavior and support  from the volunteer community at OWASP (everyone is FREE to find employers who do as they say the door swings both ways...)    We can also craft a survey and email it out as wel.<br>
<br>I believe that if we surveyed and discussed with each with the point of contact aka: Industry point of contact for each supporter the information would be of extreme value and refreshing outreach from OWASP to our supporters -- this qualitative measurement would help us with rough consensus (a core value).  Based on the last committee update from Industry Committee, I there was a survey going to be used with CIO's co-sponsored with Grant Thornton (and approved by the board) and this could be added as a optional section for those supporters as example and piggyback a existing effort. (See Rex Booth / GIC for more detail) - What staff member is working with GIC? please provide update if available.<br>
<br>**NOTE many people can not be paid directly while employed at companies as example -- that would be a conflict of interest.  Just as when trainers train at conferences etc.. in many cases the payments must be made to the company and not the individual or that individuals would be in breach of employment contracts as example.  All payments to people should be "legal" as example a 1099 issued as well as a signature for assignment of rights.  For some work on projects during "course of employment with said company" is an issue. We have 60 points of contacts at the supporters lets open the dialog to them.  Lets call 60 people ask 5 questions (we have employees that can do a call down from OWASP Foundation)<br>
<br>For the "individual" or independent consultants that have the ability to work on freelance projects or people "between jobs" without conflict to employment agreements etc., or clauses that class of contributor is frankly different and equally important.<br>
<br>So we could consider (2) classes or buckets as we craft the 2012+ program a corporate and a individual application even.<br><br>Calling this out as a *elephant in the room* is an observation and our responsibility --  the recommendation is that more discussion is needed including input from our committees so we can continue to help steer the organization with data driven discussions.<br>
<br>In support of Eoin's end goal -- I motion to move $53,480, to a "bounty fund" (the funds allocated regardless of amount $1-unlimited) would help us measure and we start off with a carrot program.  Offer up $1337 usd bounty per project for ACTION, define the actions requested, publish on wiki and let people SPRINT to collect the bounties. These actions can be applied to many more projects or multiple bounties per project (40 measurable items).  In many cases these short sprints would put energy into the projects and marketing of them as example -- avoid perception issues of "GDP rates" and I suspect that many contributors that want to make a statement will SPRINT on a effort and use the bounty to further invest in OWASP as its not always about the money -- or donate it to another charity or travel whatever...  No one is going to get "rich" working on bounty programs  unless you hit 1M on the Google bounty program -- but they will get money to off-set incurred costs and or a TH<br>
 ANK YOU on a commit to the OWASP Tree and perhaps on a new 2012 "hall of fame" list of committers.<br><br>At the last board meeting we covered the immediate need for OWASP IT Support and a OWASP Project Manager -- since these were approved action now needs to be taken. IMHO  Eoin's initiative reboot will NOT be successful without a PM - so if we can leverage existing resources then task and execute, if our Director can not or our paid staff then until you WE the board FIX this void the effort is destined failure as volunteer project management will not work (and has not worked). GPC has done a fantastic job in creating a framework -- volunteers should not be operational gatekeepers.<br>
<br>Our next board meeting is in +/- 15 days - clearly this is a important topic that needs additional discussion to get it right.  But I am personally inclined to start the effort with a 80% interim plan and re-evaulate in (3) months (use a bounty model as example to get started and adjust) -- as there are NO perfect plans and with to much mental masturbation or paralysis by analyst we get nothing done.<br>
<br>- Brennan<br>
<div class="HOEnZb">
<div class="h5"><br><br><br>On Apr 12, 2012, at 6:20 AM, Seba wrote:<br><br>> Eoin,<br>><br>> I see this as a "focused SoC", with a couple of phases where<br>> 1) all the leaders vote on a certain number of projects that need to be pushed forward (roughly done last week: list in ppt Eoin)<br>
> 2) now the respective project leaders have to come up with a project plan on how to achieve the next level, release, ...<br>> 3) if they don't come up with a plan: look for other projects or project leaders<br>
> 4) if they have a plan that needs funding: let's provide them that funding.<br>>     I am not against paying the project leader.<br>>     but it needs to have a very good reason. because I don't think that scales<br>
>     funding should go to facilitation, mini-summits, marketing, technical writing, I18N, book publishing, ...<br>> 5) the devil is in the details and execution: we need a Paulo II to turn this around.<br>><br>> We are not going to solve stale or stagnant project by throwing money at it, we need to empower the current leaders, contributor and look for new blood<br>
><br>> --seba<br>> On Thu, Apr 12, 2012 at 2:01 AM, Matt Tesauro <<a href="mailto:matt.tesauro@owasp.org">matt.tesauro@owasp.org</a>> wrote:<br>> I'd like to turn this argument on its head.  Here's what I mean:<br>
><br>> Dinis presented a list of issues what will arrise if OWASP pays people to do work on projects and suggested we should continue the board decision to keep this ban in place.<br>><br>> We've also heard about how not investing in our projects (including paying leaders) appears to leave OWASP with stale projects.<br>
><br>> We're talking about money - I'm not surprised there are issues.<br>><br>> However, Dinis has been fond, as long as I've known him, of saying that nobody abuses OWASP. Lets put that to the test.<br>
><br>> Why don't we engage with the project's Eoin has enumerated to see what they need?  To figure out how to get rid of the project's "paper cuts".  Let the project leader(s) tell us what they need.  This is somewhat an inverse of the SOC where OWASP said "We need X".  Instead, OWASP would say "Tell us what you need and how we can help"  I don't see a single, well defined solution working for this problem.<br>
><br>> If project leaders aren't going to abuse OWASP (Dinis's theorem), then let them ask for what they need - including being paid if it makes sense.  As long as we have a method of review, where will the abuse come from.  Letting project leader's decide removes most if not all of the money issues that have been raised.<br>
><br>> OWASP has already done this with the Python Security guy - we asked him what he needed, spent some $'s to get what he needed and the results have been great.  Same for Jim Manico and the OWASP podcast - getting the production guy hired removed a roadblock to him getting episodes out the door.<br>
><br>> </matt's 2 cents><br>><br>> --<br>> -- Matt Tesauro<br>> OWASP Board Member<br>> OWASP WTE Project Lead<br>> <a href="http://www.owasp.org/index.php/Category:OWASP_Live_CD_Project" target="_blank">http://www.owasp.org/index.php/Category:OWASP_Live_CD_Project</a><br>
> <a href="http://appseclive.org/" target="_blank">http://AppSecLive.org</a> - Community and Download site<br>><br>><br>><br>> On Wed, Apr 11, 2012 at 4:29 PM, Eoin <<a href="mailto:eoin.keary@owasp.org">eoin.keary@owasp.org</a>> wrote:<br>
> Thanks jim.<br>> Board what are your thoughts on this.<br>> I'd like to put this to bed soon and start planning.<br>><br>><br>> Eoin Keary<br>> BCC Risk Advisory<br>> Owasp Global Board<br>> <a href="tel:%2B353%2087%20977%202988" value="+353879772988">+353 87 977 2988</a><br>
><br>><br>> On 11 Apr 2012, at 20:06, Jim Manico <<a href="mailto:jim.manico@owasp.org">jim.manico@owasp.org</a>> wrote:<br>><br>> > Eoin, I'm also 100% in support of this plan.<br>> ><br>
> > I also would rather see a vote on your plan, instead of a vote that sets<br>> > up a firewall rule to disallow paying certain people.<br>> ><br>> > I feel that your plan supports the OWASP mission! It also has a huge<br>
> > potential to revitalize the organization.<br>> ><br>> > I feel that negative financing rule inhibits our mission.<br>> ><br>> > - Jim<br>> >> Not trying to complicate, I just want to understand everything. Plus these will be the same questions others will ask, so it's good for us to have it flushed out.<br>
> >><br>> >> I'm supportive of the overall plan.<br>> >><br>> >><br>> >> -------<br>> >> Michael Coates | OWASP<br>> >> <a href="mailto:michael.coates@owasp.org">michael.coates@owasp.org</a> | @_mwc<br>
> >><br>> >><br>> >><br>> >> On Apr 11, 2012, at 10:54 AM, Eoin wrote:<br>> >><br>> >>> Plan is on the wiki and in the document I shared with you last week.<br>> >>> Outstanding issue is do project leads get paid. 90% of projects have only 1 main leader.<br>
> >>> Why are we over complicating things?<br>> >>><br>> >>><br>> >>> Eoin Keary<br>> >>> BCC Risk Advisory<br>> >>> Owasp Global Board<br>> >>> <a href="tel:%2B353%2087%20977%202988" value="+353879772988">+353 87 977 2988</a><br>
> >>><br>> >>><br>> >>> On 11 Apr 2012, at 18:47, Jim Manico <<a href="mailto:jim.manico@owasp.org">jim.manico@owasp.org</a>> wrote:<br>> >>><br>> >>>>> I'd rather vote on a plan rather than a single statement<br>
> >>>> Amen! Whitelisting a good plan, FTW!<br>> >>>><br>> >>>> --<br>> >>>> Jim Manico<br>> >>>> VP, Security Architecture<br>> >>>> WhiteHat Security<br>
> >>>> <a href="tel:%28808%29%20652-3805" value="+18086523805">(808) 652-3805</a><br>> >>>><br>> >>>> On Apr 11, 2012, at 11:41 AM, Michael Coates <<a href="mailto:michael.coates@owasp.org">michael.coates@owasp.org</a>> wrote:<br>
> >>>><br>> >>>>> I'd rather vote on a plan rather than a single statement<br>> ><br>> ><br>> > --<br>> > Jim Manico<br>> ><br>> > Connections Committee Chair<br>
> > Cheatsheet Series Product Manager<br>> > OWASP Podcast Producer/Host<br>> ><br>> > <a href="mailto:jim@owasp.org">jim@owasp.org</a><br>> > <a href="http://www.owasp.org/" target="_blank">www.owasp.org</a><br>
> _______________________________________________<br>> Owasp-board mailing list<br>> <a href="mailto:Owasp-board@lists.owasp.org">Owasp-board@lists.owasp.org</a><br>> <a href="https://lists.owasp.org/mailman/listinfo/owasp-board" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a><br>
><br>><br>> _______________________________________________<br>> Owasp-board mailing list<br>> <a href="mailto:Owasp-board@lists.owasp.org">Owasp-board@lists.owasp.org</a><br>> <a href="https://lists.owasp.org/mailman/listinfo/owasp-board" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a><br>
><br>><br>> _______________________________________________<br>> Owasp-board mailing list<br>> <a href="mailto:Owasp-board@lists.owasp.org">Owasp-board@lists.owasp.org</a><br>> <a href="https://lists.owasp.org/mailman/listinfo/owasp-board" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a><br>
<br><br></div></div><span class="HOEnZb"><font color="#888888">Tom Brennan<br>International Board of Directors<br>OWASP Foundation<br>(t) <a href="tel:973-202-0122" value="+19732020122">973-202-0122</a><br>(e) <a href="mailto:tomb@owasp.org">tomb@owasp.org</a><br>
(w) <a href="http://www.owasp.org/" target="_blank">http://www.owasp.org</a><br></font></span>
<div class="HOEnZb">
<div class="h5"><br><br><br><br><br><br>_______________________________________________<br>Owasp-board mailing list<br><a href="mailto:Owasp-board@lists.owasp.org">Owasp-board@lists.owasp.org</a><br><a href="https://lists.owasp.org/mailman/listinfo/owasp-board" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a><br>
</div></div></blockquote></div><br><br clear="all"><br>-- <br>
<div><font style="COLOR:rgb(153,153,153)" size="1">Global Board Member (Vice Chair)</font><br></div><br>