<div dir="ltr"><div>Tom,<br><br></div><div>What are your thoughts on this issue? Are you casting a vote?<br><br></div><div><br>-Michael<br></div><div class="gmail_extra"><br clear="all"><div><div dir="ltr"><br><br><br></div>
</div>
<br><br><div class="gmail_quote">On Tue, Jan 7, 2014 at 8:32 AM, Michael Coates <span dir="ltr"><<a href="mailto:michael.coates@owasp.org" target="_blank">michael.coates@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="ltr"><div>Fabio,<br><br>Thanks for your thoughts and reading through the thread of discussion.<br><br></div><div>Can you clarify your position in regards to the proposed vote? In addition to whether or not OWASP provides the free training there is also the element of co-marketing with RSA. Sarah provided all the details here (<a href="http://lists.owasp.org/pipermail/owasp-board/2014-January/012876.html" target="_blank">http://lists.owasp.org/pipermail/owasp-board/2014-January/012876.html</a>)<br>

<br></div><div>The proposed vote is to cancel the co-marketing contract and, if possible, still provide the free training. This specifically means OWASP would be at RSA; however, we would not be engaging in any promotion of the event per the contract outlined in Sarah's email.<br>

<br></div><div>Here is the exact wording proposed:<div class="im"><br><br>OWASP will terminate the co-marketing agreement with RSA for RSA 2014. <br>
This may place our training at risk, but if permitted we will still 
provide the free training at RSA and the OWASP speaking slot.<br><br><br><br></div></div><div>Thanks,<br>Michael<br></div><div><br></div><div class="gmail_extra"><br clear="all"><div><div dir="ltr"><br><br></div></div>
<br><br><div class="gmail_quote"><div><div class="h5">On Tue, Jan 7, 2014 at 6:23 AM, Fabio Cerullo <span dir="ltr"><<a href="mailto:fcerullo@owasp.org" target="_blank">fcerullo@owasp.org</a>></span> wrote:<br></div>
</div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div class="h5">
Hey guys<div><br></div><div>Apologies for the silence in the last couple of days. It took me a while to read the whole thread and reviewing external sources as well while on the road.</div><div><br></div><div>As Eoin's just stated below, we need to take an 'in or out' decision.</div>


<div><br></div><div>Cancelling the contract but maybe delivering training is not an option.</div><div><br></div><div>To his question "<b style="background-color:rgba(255,255,255,0)"><font>Are we to support RSAC this year given the allegations?"</font></b></div>


<div><b style="background-color:rgba(255,255,255,0)"><font><br></font></b></div><div><span style="background-color:rgba(255,255,255,0)"><font>I would personally vote YES. My reasoning is as follows:</font></span></div>
<div><span style="background-color:rgba(255,255,255,0)"><font><br></font></span></div><div><span style="background-color:rgba(255,255,255,0)"><font>- There is no concrete evidence about the allegations of a payout.<b></b></font></span></div>


<div><span style="background-color:rgba(255,255,255,0)"><font>- RSA is firmly refuting any accusations.</font></span></div><div><span style="background-color:rgba(255,255,255,0)"><font>- i still believe in the premise: "Innocent until proven guilty"</font></span></div>


<div><br></div><div><span style="font-size:small">I'm also monitoring the poll created by Simon to get a feel of the Community and there is no clear distinction between one opinion</span><span style="font-size:small"> or the other. If the Community strongly believes we should pull out, and as a matter of principles, I might be inclined to change my decision and vote NO instead. But for the time being, my decision stands to go ahead as planned.</span><br>


</div><div><span style="font-size:small"><br></span></div><div><font><span>In any case, if we (OWASP) are dropping our support and making an official statement about 'weaking crypto in products is bad' I would highly recommend for this document to be reviewed by a solicitor or qualified professional before making it public. I don't feel is OWASP position to accuse companies of any wrongdoings based on news articles or blog posts. </span></font></div>


<div><font><span><br></span></font></div><div><font><span>Regards</span></font></div><div><font><span>Fabio</span></font></div><div><font><span><br></span></font></div><div><br></div><div><br><br>El Tuesday, January 7, 2014, Eoin  escribió:<br>


<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div><div dir="ltr"><div>I am not voting but the topic that is up for vote is wrong in my opinion.</div>

<div><br></div><div>Some media, people in general will see OWASP participation in RSA as negative, hence the debate.</div><div>
Cancelling a contract does not really cut it. its "window dressing."</div><div><br></div><div>Either we  (OWASP) are engaging with RSAC or not, its that simple.</div><div><br></div><div>Delivering anything at RSAC shall be interpreted as a sign of support, this is the root cause of the debate: <b>Are we to support RSAC this year given the allegations?</b> (contract is circumstantial).</div>




<div><br></div><div><br></div></div></div></div><div class="gmail_extra"><div><div><br><br><div>On 7 January 2014 00:42, Tobias <span dir="ltr"><<a>tobias.gondrom@owasp.org</a>></span> wrote:<br>
<blockquote style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
  
    
  
  <div text="#000000" bgcolor="#FFFFFF">
    <div>My vote is: Yes. OWASP shall terminate
      the co-marketing agreement with RSA for RSA 2014. <br>
      <br>
      <div>My reasons are: <br>
      </div>
      <div><br>
      </div>
      <div>1. community feedback and discussion (there seems to be a
        significant part of the community concerned about this) Note: I
        would have loved to see an OWASP community poll on this before
        making this decision to get a better feel for the wishes of our
        community, but acknowledge Michael's request that we need to
        decide this urgently. <br>
      </div>
      <div><br>
      </div>
      <div>2. we have an alternative (as outlined in Sarah's email,
        BSides) that can fulfil the goal equally. <br>
      </div>
      <div><br>
      </div>
      3. I understand that there is a lot of uncertainty about RSA's
      level of involvement. And I don't feel in a position to make a
      final judgement about this. And as often with secrecy, we possibly
      never will be. <br>
      But in this case we don't have to have final judgement. The
      co-marketing agreement is quite extensive and could be seen as
      active endorsement. To follow such an agreement we would need to
      have a very high level of confidence and trust in the other party.
      So already a reasonable shadow of doubt is sufficient grounds, to
      distance OWASP in this case from a very active co-marketing
      agreement with the company RSA, to avoid being interpreted as an
      active endorsement of a commercial entity currently under review.
      And we should abstain from actively endorsing RSA for the time
      being, until all facts of the case have been properly examined
      (note: not by us, as we are not an investigative body). <br>
      <br>
      In addition to that: <br>
      I propose that OWASP should prepare and release a press release or
      public statement that OWASP thinks weakening or undermining crypto
      is a really bad idea. (I will be happy to assist with the
      preparation of the text.) This press release shall advocate our
      general OWASP principles and shall _not_ mention RSA, the RSA
      conference or any other company by name. (personal note: btw. RSA
      should have no problem with such a press release, as they
      officially deny any such activities...)<br>
      <br>
      All the best, Tobias<br>
      <br>
      <br>
      Tobias Gondrom<br>
      Owasp Global Board<div><div><br>
      <br>
      <br>
      <br>
      <br>
      <br>
      On 06/01/14 23:51, Michael Coates wrote:<br>
    </div></div></div><div><div>
    <blockquote type="cite">
      <div dir="ltr">
        <div>
          <div>
            <div>
              <div>"OWASP will terminate the co-marketing agreement with
                RSA for RSA 2014. <br>
                This may place our training at risk, but if permitted we
                will still provide the free training at RSA and the
                OWASP speaking slot."<br>
                <br>
              </div>
              Michael - Yes<br>
              Tom -<br>
              Tobias -<br>
              Fabio -<br>
              Josh - Yes<br>
            </div>
            Jim - abstain<br>
          </div>
          Eoin - abstain<br>
          <br>
          <br>
          <br>
        </div>
        <div>
          <br clear="all">
          <div>
            <div dir="ltr"><br>
              --<br>
              Michael Coates<br>
              <br>
              <br>
            </div>
          </div>
          <br>
          <br>
          <div>On Mon, Jan 6, 2014 at 3:47 PM, Eoin
            Keary <span dir="ltr"><<a>eoin.keary@owasp.org</a>></span>
            wrote:<br>
            <blockquote style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid">
              <div dir="auto">
                <div>Same here, I can't vote, I believe as the class
                  delivery and material is mine and it would be a
                  conflict.</div>
                <div>I would be a "no" if I could.</div>
                <div><br>
                </div>
                <div>Not sure why participation in an event requires a
                  vote given other events did not require such....</div>
                <div><br>
                </div>
                <div>My view is based on </div>
                <div><br>
                </div>
                <div>1.</div></div></blockquote></div></div></div></blockquote></div></div></div></blockquote></div></div></div>-- <br><div>Eoin Keary<br>OWASP Member<br><a href="https://twitter.com/EoinKeary" target="_blank">https://twitter.com/EoinKeary</a><div>



<br></div>
</div></div>
</blockquote></div>
<br></div></div><div class="im">_______________________________________________<br>
Owasp-board mailing list<br>
<a href="mailto:Owasp-board@lists.owasp.org" target="_blank">Owasp-board@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-board" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a><br>
<br></div></blockquote></div><br></div></div>
</blockquote></div><br></div></div>