<div dir="ltr"><div><div>Tom,<br><br>Thanks for your thoughts. From point #1 I'll record your vote as NO to the proposed vote.<br><br></div>For you and everyone's knowledge your comment #2 is inline with the second part of the proposed vote - which is to still provide the training if possible.<br>
<br><br></div>-Michael<br></div><div class="gmail_extra"><br clear="all"><div><div dir="ltr"><br>--<br>Michael Coates<br>@_mwc<br><br></div></div>
<br><br><div class="gmail_quote">On Tue, Jan 7, 2014 at 11:58 AM, Tom Brennan <span dir="ltr"><<a href="mailto:tomb@owasp.org" target="_blank">tomb@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
1) Should OWASP cancel the co-marketing agreement that will raise<br>
awareness for OWASP Foundation and our mission globally? =  NO do not<br>
cancel it.<br>
<br>
-- The greater good is awareness and the core purpose of the co-op.<br>
This is NOT a joint-partnership agreement rather a marketing<br>
relationship.<br>
<br>
2) Should OWASP cancel or withdrawal the speakers (Eoin/Jim) from<br>
delivery of a software security training at RSA and reimburse for<br>
travel/lodging that has the purpose of raising awareness of OWASP<br>
Foundation as well as awareness marketing of the OWASP Foundation<br>
brand = NO do not cancel it.<br>
<br>
-- The greater good is awareness and clarification from elected<br>
leadership in a public forum that "WE" do not approve of weak software<br>
security<br>
<br>
-- This material that is being provided is not a OWASP Project per<br>
se., hence it could better align with<br>
<a href="https://www.owasp.org/index.php/OWASP_Training" target="_blank">https://www.owasp.org/index.php/OWASP_Training</a> as example but that is<br>
a different topic.<br>
<br>
-- BSides is not a alternative option.. rather delivery at that<br>
organizations event would be a ++ but don't confuse the issue.  We are<br>
"marketing" to the RSA attendees about OWASP, goto the BSides event<br>
and "market" OWASP to them also but don't cross streams.<br>
<br>
3) 'The Open Web Application Security Project (OWASP) is a 501(c)(3)<br>
worldwide not-for-profit charitable organization focused on improving<br>
the security of software"<br>
<br>
Should OWASP do a disclaimer in writing (on a slide #2) before<br>
delivery of the training that reinforces the mission = YES and make a<br>
clear statement that they represent OWASP to do exactly that and even<br>
put focus on the actual issue of why CRYPTO is HARD... Yes Again.<br>
<br>
<a href="http://arstechnica.com/security/2014/01/how-the-nsa-may-have-put-a-backdoor-in-rsas-cryptography-a-technical-primer/" target="_blank">http://arstechnica.com/security/2014/01/how-the-nsa-may-have-put-a-backdoor-in-rsas-cryptography-a-technical-primer/</a><br>

<br>
4) Spy agencies (foreign or domestic) focus on influencing, handling,<br>
subverting to gain a advantage -- if they did not do that they would<br>
not be a "spy agency".....    That is not the business of OWASP<br>
Foundation  our "business" is providing a platform for individuals,<br>
academia, corporations, governments and aliens equal access to the<br>
information at <a href="http://www.owasp.org" target="_blank">http://www.owasp.org</a> that can be trusted.  That is all.<br>
<br>
Hope EVERYONE is looking at OWASP California<br>
(<a href="https://appseccalifornia.org" target="_blank">https://appseccalifornia.org</a>)  and this type of "training" should be<br>
delivered there as well<br>
<br>
Flames to dev/null<br>
<br>
Questions #<a href="tel:973-202-0122" value="+19732020122">973-202-0122</a>  -- see you in California!<br>
<br>
## EOF<br>
<div class="HOEnZb"><div class="h5"><br>
<br>
On Tue, Jan 7, 2014 at 1:33 PM, Michael Coates <<a href="mailto:michael.coates@owasp.org">michael.coates@owasp.org</a>> wrote:<br>
> Board,<br>
><br>
> Here is the current status of the vote:<br>
><br>
> Michael - Yes<br>
> Tom - No vote cast or opinion stated<br>
> Tobias - Yes<br>
> Fabio - clarification needed<br>
> Josh - Yes<br>
> Jim - abstain<br>
> Eoin - abstain<br>
><br>
><br>
><br>
><br>
><br>
><br>
> --<br>
> Michael Coates<br>
> @_mwc<br>
><br>
><br>
><br>
> On Tue, Jan 7, 2014 at 8:32 AM, Michael Coates <<a href="mailto:michael.coates@owasp.org">michael.coates@owasp.org</a>><br>
> wrote:<br>
>><br>
>> Fabio,<br>
>><br>
>> Thanks for your thoughts and reading through the thread of discussion.<br>
>><br>
>> Can you clarify your position in regards to the proposed vote? In addition<br>
>> to whether or not OWASP provides the free training there is also the element<br>
>> of co-marketing with RSA. Sarah provided all the details here<br>
>> (<a href="http://lists.owasp.org/pipermail/owasp-board/2014-January/012876.html" target="_blank">http://lists.owasp.org/pipermail/owasp-board/2014-January/012876.html</a>)<br>
>><br>
>> The proposed vote is to cancel the co-marketing contract and, if possible,<br>
>> still provide the free training. This specifically means OWASP would be at<br>
>> RSA; however, we would not be engaging in any promotion of the event per the<br>
>> contract outlined in Sarah's email.<br>
>><br>
>> Here is the exact wording proposed:<br>
>><br>
>><br>
>> OWASP will terminate the co-marketing agreement with RSA for RSA 2014.<br>
>> This may place our training at risk, but if permitted we will still<br>
>> provide the free training at RSA and the OWASP speaking slot.<br>
>><br>
>><br>
>><br>
>> Thanks,<br>
>> Michael<br>
>><br>
>><br>
>><br>
>><br>
>><br>
>><br>
>> On Tue, Jan 7, 2014 at 6:23 AM, Fabio Cerullo <<a href="mailto:fcerullo@owasp.org">fcerullo@owasp.org</a>> wrote:<br>
>>><br>
>>> Hey guys<br>
>>><br>
>>> Apologies for the silence in the last couple of days. It took me a while<br>
>>> to read the whole thread and reviewing external sources as well while on the<br>
>>> road.<br>
>>><br>
>>> As Eoin's just stated below, we need to take an 'in or out' decision.<br>
>>><br>
>>> Cancelling the contract but maybe delivering training is not an option.<br>
>>><br>
>>> To his question "Are we to support RSAC this year given the allegations?"<br>
>>><br>
>>> I would personally vote YES. My reasoning is as follows:<br>
>>><br>
>>> - There is no concrete evidence about the allegations of a payout.<br>
>>> - RSA is firmly refuting any accusations.<br>
>>> - i still believe in the premise: "Innocent until proven guilty"<br>
>>><br>
>>> I'm also monitoring the poll created by Simon to get a feel of the<br>
>>> Community and there is no clear distinction between one opinion or the<br>
>>> other. If the Community strongly believes we should pull out, and as a<br>
>>> matter of principles, I might be inclined to change my decision and vote NO<br>
>>> instead. But for the time being, my decision stands to go ahead as planned.<br>
>>><br>
>>> In any case, if we (OWASP) are dropping our support and making an<br>
>>> official statement about 'weaking crypto in products is bad' I would highly<br>
>>> recommend for this document to be reviewed by a solicitor or qualified<br>
>>> professional before making it public. I don't feel is OWASP position to<br>
>>> accuse companies of any wrongdoings based on news articles or blog posts.<br>
>>><br>
>>> Regards<br>
>>> Fabio<br>
>>><br>
>>><br>
>>><br>
>>><br>
>>> El Tuesday, January 7, 2014, Eoin escribió:<br>
>>>><br>
>>>> I am not voting but the topic that is up for vote is wrong in my<br>
>>>> opinion.<br>
>>>><br>
>>>> Some media, people in general will see OWASP participation in RSA as<br>
>>>> negative, hence the debate.<br>
>>>> Cancelling a contract does not really cut it. its "window dressing."<br>
>>>><br>
>>>> Either we  (OWASP) are engaging with RSAC or not, its that simple.<br>
>>>><br>
>>>> Delivering anything at RSAC shall be interpreted as a sign of support,<br>
>>>> this is the root cause of the debate: Are we to support RSAC this year given<br>
>>>> the allegations? (contract is circumstantial).<br>
>>>><br>
>>>><br>
>>>><br>
>>>><br>
>>>> On 7 January 2014 00:42, Tobias <<a href="mailto:tobias.gondrom@owasp.org">tobias.gondrom@owasp.org</a>> wrote:<br>
>>>><br>
>>>> My vote is: Yes. OWASP shall terminate the co-marketing agreement with<br>
>>>> RSA for RSA 2014.<br>
>>>><br>
>>>> My reasons are:<br>
>>>><br>
>>>> 1. community feedback and discussion (there seems to be a significant<br>
>>>> part of the community concerned about this) Note: I would have loved to see<br>
>>>> an OWASP community poll on this before making this decision to get a better<br>
>>>> feel for the wishes of our community, but acknowledge Michael's request that<br>
>>>> we need to decide this urgently.<br>
>>>><br>
>>>> 2. we have an alternative (as outlined in Sarah's email, BSides) that<br>
>>>> can fulfil the goal equally.<br>
>>>><br>
>>>> 3. I understand that there is a lot of uncertainty about RSA's level of<br>
>>>> involvement. And I don't feel in a position to make a final judgement about<br>
>>>> this. And as often with secrecy, we possibly never will be.<br>
>>>> But in this case we don't have to have final judgement. The co-marketing<br>
>>>> agreement is quite extensive and could be seen as active endorsement. To<br>
>>>> follow such an agreement we would need to have a very high level of<br>
>>>> confidence and trust in the other party. So already a reasonable shadow of<br>
>>>> doubt is sufficient grounds, to distance OWASP in this case from a very<br>
>>>> active co-marketing agreement with the company RSA, to avoid being<br>
>>>> interpreted as an active endorsement of a commercial entity currently under<br>
>>>> review. And we should abstain from actively endorsing RSA for the time<br>
>>>> being, until all facts of the case have been properly examined (note: not by<br>
>>>> us, as we are not an investigative body).<br>
>>>><br>
>>>> In addition to that:<br>
>>>> I propose that OWASP should prepare and release a press release or<br>
>>>> public statement that OWASP thinks weakening or undermining crypto is a<br>
>>>> really bad idea. (I will be happy to assist with the preparation of the<br>
>>>> text.) This press release shall advocate our general OWASP principles and<br>
>>>> shall _not_ mention RSA, the RSA conference or any other company by name.<br>
>>>> (personal note: btw. RSA should have no problem with such a press release,<br>
>>>> as they officially deny any such activities...)<br>
>>>><br>
>>>> All the best, Tobias<br>
>>>><br>
>>>><br>
>>>> Tobias Gondrom<br>
>>>> Owasp Global Board<br>
>>>><br>
>>>><br>
>>>><br>
>>>><br>
>>>><br>
>>>><br>
>>>> On 06/01/14 23:51, Michael Coates wrote:<br>
>>>><br>
>>>> "OWASP will terminate the co-marketing agreement with RSA for RSA 2014.<br>
>>>> This may place our training at risk, but if permitted we will still<br>
>>>> provide the free training at RSA and the OWASP speaking slot."<br>
>>>><br>
>>>> Michael - Yes<br>
>>>> Tom -<br>
>>>> Tobias -<br>
>>>> Fabio -<br>
>>>> Josh - Yes<br>
>>>> Jim - abstain<br>
>>>> Eoin - abstain<br>
>>>><br>
>>>><br>
>>>><br>
>>>><br>
>>>><br>
>>>> --<br>
>>>> Michael Coates<br>
>>>><br>
>>>><br>
>>>><br>
>>>><br>
>>>> On Mon, Jan 6, 2014 at 3:47 PM, Eoin Keary <<a href="mailto:eoin.keary@owasp.org">eoin.keary@owasp.org</a>> wrote:<br>
>>>><br>
>>>> Same here, I can't vote, I believe as the class delivery and material is<br>
>>>> mine and it would be a conflict.<br>
>>>> I would be a "no" if I could.<br>
>>>><br>
>>>> Not sure why participation in an event requires a vote given other<br>
>>>> events did not require such....<br>
>>>><br>
>>>> My view is based on<br>
>>>><br>
>>>> 1.<br>
>>>><br>
>>>> --<br>
>>>> Eoin Keary<br>
>>>> OWASP Member<br>
>>>> <a href="https://twitter.com/EoinKeary" target="_blank">https://twitter.com/EoinKeary</a><br>
>>>><br>
>>><br>
>>> _______________________________________________<br>
>>> Owasp-board mailing list<br>
>>> <a href="mailto:Owasp-board@lists.owasp.org">Owasp-board@lists.owasp.org</a><br>
>>> <a href="https://lists.owasp.org/mailman/listinfo/owasp-board" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a><br>
>>><br>
>><br>
><br>
</div></div></blockquote></div><br></div>