<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div>I simply provided feedback. I'll respect your final decision here Tobias.<br><br><div>--</div><div>Jim Manico</div>
<div>@Manicode</div><div>(808) 652-3805</div></div><div><br>On Jan 24, 2014, at 1:37 PM, Tobias <<a href="mailto:tobias.gondrom@owasp.org">tobias.gondrom@owasp.org</a>> wrote:<br><br></div><blockquote type="cite"><div>

  
    <meta content="text/html; charset=ISO-8859-1" http-equiv="Content-Type">
  
  
    <div class="moz-cite-prefix">Hi Jeff and Jim, <br>
      <br>
      hm. Let me ask this to Jeff: <br>
      do you overall agree with the statement as it is right now, even
      though the text is obviously not exactly in the words as you would
      have written it yourself? <br>
      <br>
      Jim, I don't agree with your suggestion to change the text for
      this now. <br>
      And I can imagine that Jeff might feel the same in my position. <br>
      Please consider the following: even though I can totally
      understand that some people may feel more of this or less of that
      would make it better, I do not want to change the text unless
      absolutely necessary, i.e. if there would be something
      _fundamentally_ or _obviously_ wrong with it. <br>
      The reasons are simple: <br>
      0. We spent a lot of work on the wording and balancing, and there
      was a joint content review from the board team. <br>
      1. This community review is to see whether there are fundamental
      issues with the text. <br>
      2. We need to release this text ASAP, and <br>
      3. We need to keep the text stable. If you ever tried to edit a
      document with more than 10 people, you may recall, that although
      you can do team review/editing with a small team (which we had on
      the board team). But to continue editing it while collecting
      feedback from the community of hundreds of people is like steering
      a ship in a storm. A recipe for disaster. There are conflicting
      opinions on what are "improvements" and we can't include text
      "improvement" comments on text bits from everyone, unless they are
      absolutely specific and it is obvious that everyone in the
      community would think it is indeed an "improvement". In Germany we
      have a saying, too many cooks ruin the meal. Note, that this is a
      balancing act and we do receive feedback in various forms and
      going left and right at the same time is not possible. <br>
      <br>
      @Jeff and Jim: So I like to ask for your understanding and
      support, even though the text may not be absolutely perfect in
      your eyes. <br>
      In fact, I imagine that when you would ask any one individual in
      the community, everyone could imagine slight "improvements" or
      changes - but different ones and for very different reasons. E.g.
      "write more about A", "make it shorter", "write more about B",
      "avoid conflict between A and B", "don't write about A at all",
      etc. I think you get the gist. This document aims to capture the
      consensus of the community and be good for everyone, not to be
      perfect in everyone's eyes. The second would be an impossible
      feat. <br>
      <br>
      If Jeff would say the statement as it is has fundamental flaws and
      he can't live with the statement for a specific reason, I like to
      learn, but I am extremely reluctant to open the document for
      "improvement" suggestions - unless they would be absolutely
      necessary, obvious and without the slightest doubt better in the
      eyes of all community members. <br>
      <br>
      Please, I ask for your understanding. <br>
      <br>
      All the best, Tobias<br>
      <br>
      <br>
      <br>
      <br>
      On 24/01/14 22:23, Jim Manico wrote:<br>
    </div>
    <blockquote cite="mid:1830785295043317923@unknownmsgid" type="cite">
      <meta http-equiv="content-type" content="text/html;
        charset=ISO-8859-1">
      <div>+1 Jeff is spot on, we need to include this. Jeff, I'm glad
        you support out foray into infosec politics.</div>
      <div><br>
      </div>
      <div>Aloha,</div>
      <div>
        <div>--</div>
        <div>Jim Manico</div>
        <div>@Manicode</div>
        <div>(808) 652-3805</div>
      </div>
      <div><br>
        On Jan 24, 2014, at 9:42 AM, Kate Hartmann <<a href="mailto:kate.hartmann@owasp.org">kate.hartmann@owasp.org</a>>
        wrote:<br>
        <br>
      </div>
      <blockquote type="cite">
        <div>
          <div dir="ltr">The form did not allow comments, but here is
            one from Jeff Williams.<br>
            <br>
            <div class="gmail_quote">---------- Forwarded message
              ----------<br>
              From: <b class="gmail_sendername">Jeff Williams</b> <span dir="ltr"><<a href="mailto:jeff.williams@aspectsecurity.com">jeff.williams@aspectsecurity.com</a>></span><br>
              Date: Fri, Jan 24, 2014 at 10:20 AM<br>
              Subject: RE: [Governance] OWASP statement on security:
              your opinion? - until Monday 14:00 CST<br>
              To: Kate Hartmann <<a href="mailto:kate.hartmann@owasp.org">kate.hartmann@owasp.org</a>><br>
              <br>
              <br>
              <div link="blue" vlink="purple" lang="EN-US">
                <div>
                  <p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">I
                      think this statement should spend more time on the
                      idea of “visibility” and why it is OWASP’s
                      mission.   There can be no SECURITY where there is
                      no VISIBILITY.  What RSA is accused of doing is an
                      egregious example of an action in DIRECT conflict
                      with OWASP’s mission.  There are many many less
                      serious examples of the lack of visibility into
                      security – but most of them are the result of
                      apathy or negligence.  Like when companies fail to
                      tell us how their security controls work.  But the
                      intentional hiding of critical security
                      information is diametrically opposed to OWASP’s
                      mission and we should fight hard to prevent anyone
                      else from attempting it.</span></p>
                  <p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span></p>
                  <p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">--Jeff</span></p>
                  <p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span></p>
                  <p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span></p>
                  <p class="MsoNormal"><br>
                  </p>
                </div>
              </div>
            </div>
            <div dir="ltr">Kate Hartmann
              <div><a href="mailto:kate.hartmann@owasp.org" target="_blank">kate.hartmann@owasp.org</a></div>
              <div>+1 301-275-9403</div>
            </div>
          </div>
        </div>
      </blockquote>
      <blockquote type="cite">
        <div><span>_______________________________________________</span><br>
          <span>Owasp-board mailing list</span><br>
          <span><a href="mailto:Owasp-board@lists.owasp.org">Owasp-board@lists.owasp.org</a></span><br>
          <span><a href="https://lists.owasp.org/mailman/listinfo/owasp-board">https://lists.owasp.org/mailman/listinfo/owasp-board</a></span><br>
        </div>
      </blockquote>
      <br>
      <fieldset class="mimeAttachmentHeader"></fieldset>
      <br>
      <pre>_______________________________________________
Owasp-board mailing list
<a class="moz-txt-link-abbreviated" href="mailto:Owasp-board@lists.owasp.org">Owasp-board@lists.owasp.org</a>
<a class="moz-txt-link-freetext" href="https://lists.owasp.org/mailman/listinfo/owasp-board">https://lists.owasp.org/mailman/listinfo/owasp-board</a>
</pre>
    </blockquote>
    <br>
  

</div></blockquote><blockquote type="cite"><div><span>_______________________________________________</span><br><span>Owasp-board mailing list</span><br><span><a href="mailto:Owasp-board@lists.owasp.org">Owasp-board@lists.owasp.org</a></span><br>
<span><a href="https://lists.owasp.org/mailman/listinfo/owasp-board">https://lists.owasp.org/mailman/listinfo/owasp-board</a></span><br></div></blockquote></body></html>