<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div>Time pressure? The contract for the co-marketing agreement was already signed. Argh.<br><br><div>--</div><div>Jim Manico</div>
<div>@Manicode</div><div>(808) 652-3805</div></div><div><br>On Jan 8, 2014, at 4:18 AM, Josh Sokol <<a href="mailto:josh.sokol@owasp.org">josh.sokol@owasp.org</a>> wrote:<br><br></div><blockquote type="cite"><div><p dir="ltr">
My understanding was that there were time pressures around when the contract needed to be signed by and a vote was necessary to determine our next steps.  Definitely sucks that we had to take action before everyone had a chance to vote but we had several days worth of discussion with plenty of community feedback so I feel ok with it.</p>


<p dir="ltr">~josh</p>
<div class="gmail_quote">On Jan 8, 2014 8:06 AM, "Tom Brennan" <<a href="mailto:tomb@owasp.org">tomb@owasp.org</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

I love the community poll -- disappointed that the "vote" has already<br>
happened.<br>
<br>
On Wed, Jan 8, 2014 at 9:03 AM, psiinon <<a href="mailto:psiinon@gmail.com">psiinon@gmail.com</a>> wrote:<br>
> Current proposed close date is Jan 14, which I put on<br>
> <a href="https://www.owasp.org/index.php/Polls" target="_blank">https://www.owasp.org/index.php/Polls</a> ;)<br>
> I also put that you have to have an OWASP email account to vote, but I'm<br>
> still getting a load of requests to share the poll.<br>
> *sigh* ;)<br>
><br>
> Simon<br>
><br>
><br>
> On Wed, Jan 8, 2014 at 1:57 PM, Tom Brennan <<a href="mailto:tomb@owasp.org">tomb@owasp.org</a>> wrote:<br>
>><br>
>> Simon,<br>
>><br>
>> When does this public community vote close?<br>
>><br>
>><br>
>> <a href="https://docs.google.com/a/owasp.org/spreadsheet/ccc?key=0AmN7t2D5ENBddFhrNGw2d29wdDhJeUo2VWR5OEtINkE#gid=0" target="_blank">https://docs.google.com/a/owasp.org/spreadsheet/ccc?key=0AmN7t2D5ENBddFhrNGw2d29wdDhJeUo2VWR5OEtINkE#gid=0</a><br>


>><br>
>><br>
>><br>
>><br>
>><br>
>> On Tue, Jan 7, 2014 at 5:16 PM, Michael Coates <<a href="mailto:michael.coates@owasp.org">michael.coates@owasp.org</a>><br>
>> wrote:<br>
>> > Tobias & Board,<br>
>> ><br>
>> > Here are the updated votes.<br>
>> > We have 3 YES votes, 1 NO vote, 2 abstain and Fabio's vote is unclear.<br>
>> ><br>
>> > This vote has quorum 6 of 7 board members vote recorded (Fabio's vote<br>
>> > pending) and a majority of the votes (3 of 5) voted in favor of the<br>
>> > measure.<br>
>> > Unless there are any other comments we should move forward with this<br>
>> > finalized vote. Tobias, as Secretary any further comments on this vote?<br>
>> > Can<br>
>> > you record the results?<br>
>> ><br>
>> ><br>
>> > Vote Proposal:<br>
>> ><br>
>> > OWASP will terminate the co-marketing agreement with RSA for RSA 2014.<br>
>> > This may place our training at risk, but if permitted we will still<br>
>> > provide<br>
>> > the free training at RSA and the OWASP speaking slot.<br>
>> ><br>
>> > Vote Results:<br>
>> ><br>
>> > Michael - Yes<br>
>> > Tom - No<br>
>> > Tobias - Yes<br>
>> > Fabio - clarification needed*<br>
>> ><br>
>> > Josh - Yes<br>
>> > Jim - abstain<br>
>> > Eoin - abstain<br>
>> ><br>
>> ><br>
>> > From Fabio's email:<br>
>> > "But for the time being, my decision stands to go ahead as planned." I'd<br>
>> > interpret this as a NO to the proposal, but no vote has been recorded<br>
>> > until<br>
>> > Fabio clarifies.<br>
>> ><br>
>> ><br>
>> > --<br>
>> > Michael Coates<br>
>> > @_mwc<br>
>> ><br>
>> ><br>
>> ><br>
>> > On Tue, Jan 7, 2014 at 10:33 AM, Michael Coates<br>
>> > <<a href="mailto:michael.coates@owasp.org">michael.coates@owasp.org</a>><br>
>> > wrote:<br>
>> >><br>
>> >> Board,<br>
>> >><br>
>> >> Here is the current status of the vote:<br>
>> >><br>
>> >> Michael - Yes<br>
>> >> Tom - No vote cast or opinion stated<br>
>> >> Tobias - Yes<br>
>> >> Fabio - clarification needed<br>
>> >> Josh - Yes<br>
>> >> Jim - abstain<br>
>> >> Eoin - abstain<br>
>> >><br>
>> >><br>
>> >><br>
>> >><br>
>> >><br>
>> >><br>
>> >> --<br>
>> >> Michael Coates<br>
>> >> @_mwc<br>
>> >><br>
>> >><br>
>> >><br>
>> >> On Tue, Jan 7, 2014 at 8:32 AM, Michael Coates<br>
>> >> <<a href="mailto:michael.coates@owasp.org">michael.coates@owasp.org</a>><br>
>> >> wrote:<br>
>> >>><br>
>> >>> Fabio,<br>
>> >>><br>
>> >>> Thanks for your thoughts and reading through the thread of discussion.<br>
>> >>><br>
>> >>> Can you clarify your position in regards to the proposed vote? In<br>
>> >>> addition to whether or not OWASP provides the free training there is<br>
>> >>> also<br>
>> >>> the element of co-marketing with RSA. Sarah provided all the details<br>
>> >>> here<br>
>> >>><br>
>> >>> (<a href="http://lists.owasp.org/pipermail/owasp-board/2014-January/012876.html" target="_blank">http://lists.owasp.org/pipermail/owasp-board/2014-January/012876.html</a>)<br>
>> >>><br>
>> >>> The proposed vote is to cancel the co-marketing contract and, if<br>
>> >>> possible, still provide the free training. This specifically means<br>
>> >>> OWASP<br>
>> >>> would be at RSA; however, we would not be engaging in any promotion of<br>
>> >>> the<br>
>> >>> event per the contract outlined in Sarah's email.<br>
>> >>><br>
>> >>> Here is the exact wording proposed:<br>
>> >>><br>
>> >>><br>
>> >>> OWASP will terminate the co-marketing agreement with RSA for RSA 2014.<br>
>> >>> This may place our training at risk, but if permitted we will still<br>
>> >>> provide the free training at RSA and the OWASP speaking slot.<br>
>> >>><br>
>> >>><br>
>> >>><br>
>> >>> Thanks,<br>
>> >>> Michael<br>
>> >>><br>
>> >>><br>
>> >>><br>
>> >>><br>
>> >>><br>
>> >>><br>
>> >>> On Tue, Jan 7, 2014 at 6:23 AM, Fabio Cerullo <<a href="mailto:fcerullo@owasp.org">fcerullo@owasp.org</a>><br>
>> >>> wrote:<br>
>> >>>><br>
>> >>>> Hey guys<br>
>> >>>><br>
>> >>>> Apologies for the silence in the last couple of days. It took me a<br>
>> >>>> while<br>
>> >>>> to read the whole thread and reviewing external sources as well while<br>
>> >>>> on the<br>
>> >>>> road.<br>
>> >>>><br>
>> >>>> As Eoin's just stated below, we need to take an 'in or out' decision.<br>
>> >>>><br>
>> >>>> Cancelling the contract but maybe delivering training is not an<br>
>> >>>> option.<br>
>> >>>><br>
>> >>>> To his question "Are we to support RSAC this year given the<br>
>> >>>> allegations?"<br>
>> >>>><br>
>> >>>> I would personally vote YES. My reasoning is as follows:<br>
>> >>>><br>
>> >>>> - There is no concrete evidence about the allegations of a payout.<br>
>> >>>> - RSA is firmly refuting any accusations.<br>
>> >>>> - i still believe in the premise: "Innocent until proven guilty"<br>
>> >>>><br>
>> >>>> I'm also monitoring the poll created by Simon to get a feel of the<br>
>> >>>> Community and there is no clear distinction between one opinion or<br>
>> >>>> the<br>
>> >>>> other. If the Community strongly believes we should pull out, and as<br>
>> >>>> a<br>
>> >>>> matter of principles, I might be inclined to change my decision and<br>
>> >>>> vote NO<br>
>> >>>> instead. But for the time being, my decision stands to go ahead as<br>
>> >>>> planned.<br>
>> >>>><br>
>> >>>> In any case, if we (OWASP) are dropping our support and making an<br>
>> >>>> official statement about 'weaking crypto in products is bad' I would<br>
>> >>>> highly<br>
>> >>>> recommend for this document to be reviewed by a solicitor or<br>
>> >>>> qualified<br>
>> >>>> professional before making it public. I don't feel is OWASP position<br>
>> >>>> to<br>
>> >>>> accuse companies of any wrongdoings based on news articles or blog<br>
>> >>>> posts.<br>
>> >>>><br>
>> >>>> Regards<br>
>> >>>> Fabio<br>
>> >>>><br>
>> >>>><br>
>> >>>><br>
>> >>>><br>
>> >>>> El Tuesday, January 7, 2014, Eoin escribió:<br>
>> >>>>><br>
>> >>>>> I am not voting but the topic that is up for vote is wrong in my<br>
>> >>>>> opinion.<br>
>> >>>>><br>
>> >>>>> Some media, people in general will see OWASP participation in RSA as<br>
>> >>>>> negative, hence the debate.<br>
>> >>>>> Cancelling a contract does not really cut it. its "window dressing."<br>
>> >>>>><br>
>> >>>>> Either we  (OWASP) are engaging with RSAC or not, its that simple.<br>
>> >>>>><br>
>> >>>>> Delivering anything at RSAC shall be interpreted as a sign of<br>
>> >>>>> support,<br>
>> >>>>> this is the root cause of the debate: Are we to support RSAC this<br>
>> >>>>> year given<br>
>> >>>>> the allegations? (contract is circumstantial).<br>
>> >>>>><br>
>> >>>>><br>
>> >>>>><br>
>> >>>>><br>
>> >>>>> On 7 January 2014 00:42, Tobias <<a href="mailto:tobias.gondrom@owasp.org">tobias.gondrom@owasp.org</a>> wrote:<br>
>> >>>>><br>
>> >>>>> My vote is: Yes. OWASP shall terminate the co-marketing agreement<br>
>> >>>>> with<br>
>> >>>>> RSA for RSA 2014.<br>
>> >>>>><br>
>> >>>>> My reasons are:<br>
>> >>>>><br>
>> >>>>> 1. community feedback and discussion (there seems to be a<br>
>> >>>>> significant<br>
>> >>>>> part of the community concerned about this) Note: I would have loved<br>
>> >>>>> to see<br>
>> >>>>> an OWASP community poll on this before making this decision to get a<br>
>> >>>>> better<br>
>> >>>>> feel for the wishes of our community, but acknowledge Michael's<br>
>> >>>>> request that<br>
>> >>>>> we need to decide this urgently.<br>
>> >>>>><br>
>> >>>>> 2. we have an alternative (as outlined in Sarah's email, BSides)<br>
>> >>>>> that<br>
>> >>>>> can fulfil the goal equally.<br>
>> >>>>><br>
>> >>>>> 3. I understand that there is a lot of uncertainty about RSA's level<br>
>> >>>>> of<br>
>> >>>>> involvement. And I don't feel in a position to make a final<br>
>> >>>>> judgement about<br>
>> >>>>> this. And as often with secrecy, we possibly never will be.<br>
>> >>>>> But in this case we don't have to have final judgement. The<br>
>> >>>>> co-marketing agreement is quite extensive and could be seen as<br>
>> >>>>> active<br>
>> >>>>> endorsement. To follow such an agreement we would need to have a<br>
>> >>>>> very high<br>
>> >>>>> level of confidence and trust in the other party. So already a<br>
>> >>>>> reasonable<br>
>> >>>>> shadow of doubt is sufficient grounds, to distance OWASP in this<br>
>> >>>>> case from a<br>
>> >>>>> very active co-marketing agreement with the company RSA, to avoid<br>
>> >>>>> being<br>
>> >>>>> interpreted as an active endorsement of a commercial entity<br>
>> >>>>> currently under<br>
>> >>>>> review. And we should abstain from actively endorsing RSA for the<br>
>> >>>>> time<br>
>> >>>>> being, until all facts of the case have been properly examined<br>
>> >>>>> (note: not by<br>
>> >>>>> us, as we are not an investigative body).<br>
>> >>>>><br>
>> >>>>> In addition to that:<br>
>> >>>>> I propose that OWASP should prepare and release a press release or<br>
>> >>>>> public statement that OWASP thinks weakening or undermining crypto<br>
>> >>>>> is a<br>
>> >>>>> really bad idea. (I will be happy to assist with the preparation of<br>
>> >>>>> the<br>
>> >>>>> text.) This press release shall advocate our general OWASP<br>
>> >>>>> principles and<br>
>> >>>>> shall _not_ mention RSA, the RSA conference or any other company by<br>
>> >>>>> name.<br>
>> >>>>> (personal note: btw. RSA should have no problem with such a press<br>
>> >>>>> release,<br>
>> >>>>> as they officially deny any such activities...)<br>
>> >>>>><br>
>> >>>>> All the best, Tobias<br>
>> >>>>><br>
>> >>>>><br>
>> >>>>> Tobias Gondrom<br>
>> >>>>> Owasp Global Board<br>
>> >>>>><br>
>> >>>>><br>
>> >>>>><br>
>> >>>>><br>
>> >>>>><br>
>> >>>>><br>
>> >>>>> On 06/01/14 23:51, Michael Coates wrote:<br>
>> >>>>><br>
>> >>>>> "OWASP will terminate the co-marketing agreement with RSA for RSA<br>
>> >>>>> 2014.<br>
>> >>>>> This may place our training at risk, but if permitted we will still<br>
>> >>>>> provide the free training at RSA and the OWASP speaking slot."<br>
>> >>>>><br>
>> >>>>> Michael - Yes<br>
>> >>>>> Tom -<br>
>> >>>>> Tobias -<br>
>> >>>>> Fabio -<br>
>> >>>>> Josh - Yes<br>
>> >>>>> Jim - abstain<br>
>> >>>>> Eoin - abstain<br>
>> >>>>><br>
>> >>>>><br>
>> >>>>><br>
>> >>>>><br>
>> >>>>><br>
>> >>>>> --<br>
>> >>>>> Michael Coates<br>
>> >>>>><br>
>> >>>>><br>
>> >>>>><br>
>> >>>>><br>
>> >>>>> On Mon, Jan 6, 2014 at 3:47 PM, Eoin Keary <<a href="mailto:eoin.keary@owasp.org">eoin.keary@owasp.org</a>><br>
>> >>>>> wrote:<br>
>> >>>>><br>
>> >>>>> Same here, I can't vote, I believe as the class delivery and<br>
>> >>>>> material<br>
>> >>>>> is mine and it would be a conflict.<br>
>> >>>>> I would be a "no" if I could.<br>
>> >>>>><br>
>> >>>>> Not sure why participation in an event requires a vote given other<br>
>> >>>>> events did not require such....<br>
>> >>>>><br>
>> >>>>> My view is based on<br>
>> >>>>><br>
>> >>>>> 1.<br>
>> >>>>><br>
>> >>>>> --<br>
>> >>>>> Eoin Keary<br>
>> >>>>> OWASP Member<br>
>> >>>>> <a href="https://twitter.com/EoinKeary" target="_blank">https://twitter.com/EoinKeary</a><br>
>> >>>>><br>
>> >>>><br>
>> >>>> _______________________________________________<br>
>> >>>> Owasp-board mailing list<br>
>> >>>> <a href="mailto:Owasp-board@lists.owasp.org">Owasp-board@lists.owasp.org</a><br>
>> >>>> <a href="https://lists.owasp.org/mailman/listinfo/owasp-board" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a><br>
>> >>>><br>
>> >>><br>
>> >><br>
>> ><br>
><br>
><br>
><br>
><br>
> --<br>
> OWASP ZAP Project leader<br>
</blockquote></div>
</div></blockquote></body></html>