<div dir="ltr"><div>Dropping one project category is very important as it makes it black and white in terms of what we're pouring our resources into and what we are not.  But where the rubber meets the road is in who is actually owning the project (ie. who decides the features we are working on, the contributors, the release schedule, etc).  If it's an OWASP project, then our PM should be providing the organization behind this and the direction should ideally be driven by the community through some sort of upvote/downvote method.  Look at ESAPI as an example.  There's a project leader currently, but has any traction been made lately?  But the concept is fantastic and probably something that we should be supporting additional development on and not just sandbagging it.  If others agreed, then we should be doing like a reddit system of features.  What needs to happen to make it ready for the big show?  Now that we have our priorities, we could arrange for people to do it.  If someone really wants some functionality, they can sign up to do it or we can always contract it out.  So, while technically the license would allow us to do this under the current system, the concept of "project leaders" makes it difficult.  It also makes it difficult for us to reward the main contributors because they are likely filling that role of project leader as well.  I know I've seen a number of different posts on that subject arguing that it's a conflict of interest to pay people to work on projects.  This gives us flexibility to do that without any sort of a conflict of interest.<br>
<br></div>~josh<br></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Sun, Apr 13, 2014 at 2:58 PM, Jim Manico <span dir="ltr"><<a href="mailto:jim.manico@owasp.org" target="_blank">jim.manico@owasp.org</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div link="blue" vlink="purple" lang="EN-US"><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">I’m confused, how does this differ from what we (are supposed to) have today other than dropping one project category? What does “OWASP ownership” provide to us that “open licenses” do not provide?</span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">I like where you are coming from so far, I’m just confused at the details.</span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span></p><p><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><span>-<span style="font:7.0pt "Times New Roman"">          </span></span></span><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Jim</span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span></p>

<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""> Josh Sokol [mailto:<a href="mailto:josh.sokol@owasp.org" target="_blank">josh.sokol@owasp.org</a>] <br>

<b>Sent:</b> Sunday, April 13, 2014 9:54 AM<br><b>To:</b> Jim Manico<br><b>Cc:</b> Michael Coates; OWASP Foundation Board List</span></p><div><div class="h5"><br><b>Subject:</b> Re: [Owasp-board] A New Projects Model</div>
</div><p></p><div><div class="h5"><p class="MsoNormal"> </p>
<div><div><p class="MsoNormal" style="margin-bottom:12.0pt">Jim,<br><br>To answer your question about the review process, I said:</p><blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in">

<p class="MsoNormal">If one of those #2 projects ever decides that they are done running by themselves and wants #1 status, they can donate their code to OWASP and a technical council would give it a thumbs up or down as to whether it belongs in #1 project bucket.  The question ultimately being whether it's a project that is visionary and benefits the world at large or something solving some smaller corner case issue.</p>

</blockquote><p class="MsoNormal"> </p></div><div><p class="MsoNormal">The key here is that the project no longer becomes the individual's project, but rather, OWASP's project.  This makes it super easy for us to replace stagnant leaders, pay people to work on the project, and drive the project toward our bigger vision.</p>

</div><div><p class="MsoNormal"> </p></div><p class="MsoNormal">~josh</p></div><div><p class="MsoNormal" style="margin-bottom:12.0pt"> </p><div><p class="MsoNormal">On Sun, Apr 13, 2014 at 2:46 PM, Jim Manico <<a href="mailto:jim.manico@owasp.org" target="_blank">jim.manico@owasp.org</a>> wrote:</p>

<blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in"><div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Instead of …</span></p>

<div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span></p><p class="MsoNormal" style="margin-bottom:12.0pt">40 hrs in a week x 60 minutes in an hour / 177 projects = <14 mins per project per week</p>

</div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">I was thinking more like.</span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span></p>

<p class="MsoNormal" style="margin-bottom:12.0pt">40 hrs in a week x 60 minutes in an hour / 10 projects = <140 mins reviewing 10 projects per week with a 17 week cycle. That’s a lot more realistic.</p><p class="MsoNormal">

<span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">The “OWASP Project” concept is interesting. The big and tough question is, what project get that status? You are basically saying drop “labs” and only have “flagship” and “incubator” and nothing in between. We still need a review process that awards projects with “OWASP Project/Flagship” status. I like this simplification, by the way.</span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Aloha,</span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Jim</span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span></p><p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""> <a href="mailto:owasp-board-bounces@lists.owasp.org" target="_blank">owasp-board-bounces@lists.owasp.org</a> [mailto:<a href="mailto:owasp-board-bounces@lists.owasp.org" target="_blank">owasp-board-bounces@lists.owasp.org</a>] <b>On Behalf Of </b>Michael Coates<br>

<b>Sent:</b> Saturday, April 12, 2014 1:27 PM<br><b>To:</b> Josh Sokol<br><b>Cc:</b> OWASP Foundation Board List<br><b>Subject:</b> Re: [Owasp-board] A New Projects Model</span></p><div><div><p class="MsoNormal"> </p>
<p>Josh</p><p>I think there are some interesting ideas here. I like a model that creates a few very high quality projects that we can rally around and promote. At the same time u like how people can still experiment under our Owasp umbrella in the other area (whatever it is called). </p>

<p>You also hit the nail on the head with our current setup. The math and time just doesn't work. Noone could do it.</p><p>Let's keeping thinking through how this might look. I like the bold new ideas.</p><p>Let's celebrate quality.</p>

<div><p class="MsoNormal">On Apr 11, 2014 3:22 PM, "Josh Sokol" <<a href="mailto:josh.sokol@owasp.org" target="_blank">josh.sokol@owasp.org</a>> wrote:</p><blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-top:5.0pt;margin-right:0in;margin-bottom:5.0pt">

<div><div><div><div><div><div><div><div><div><div><div><div><div><p class="MsoNormal" style="margin-bottom:12.0pt">Board,</p></div><p class="MsoNormal" style="margin-bottom:12.0pt">It's clear that our current model for OWASP Projects isn't working.  I don't think that you can place blame on any one person or entity.  Do the math for a second.</p>

</div><p class="MsoNormal" style="margin-bottom:12.0pt">40 hrs in a week x 60 minutes in an hour / 177 projects = <14 mins per project per week</p></div><p class="MsoNormal" style="margin-bottom:12.0pt">Do you really think that any project manager can make headway on 177 projects given less than 14 minutes a week of time to spend on any one project?  Most of the e-mails that I write take more time than that.  And that's in addition to everything else that we've assigned to that role.  As we grow this problem is going to get worse and worse.  We need to address this issue head on by evolving our projects model.  Now, I can't claim to have been intimately involved in projects as many of you have in the past and present.  I also can't claim to have all of the answers.  But I do feel strongly that the current model will not scale and we've felt the pain for quite a while.  Hiring Samantha to manage projects was a temporary bandage, but we need a change in direction to ultimately stop the bleeding.</p>

</div><p class="MsoNormal" style="margin-bottom:12.0pt">Far be it from me to present a problem without a solution so I'm going to give it my best.  It's just an idea at this point and it's not fully vetted, but hey, that's what a Board is for, right?  To work together, create a new vision, and hand off to our staff to execute.</p>

</div><p class="MsoNormal"><b><u>The Proposal:</u></b></p></div><p class="MsoNormal" style="margin-bottom:12.0pt">We forget about trying to classify projects into buckets based on a level of maturity.  Instead, projects are effectively one of two things:</p>

</div><p class="MsoNormal" style="margin-bottom:12.0pt">1) An OWASP Project: This is a project owned and maintained by OWASP.  Features should be directed by the community via a up/down voting system a la reddit.  Work on the project can be paid or unpaid.  These should be projects of massive value not only to OWASP, but to the security community and even the world.  We should spend 95% of our project time and resources here because this is where the rubber meets the road.  We should be pimping the shit out of these.</p>

</div><p class="MsoNormal" style="margin-bottom:12.0pt">2) Everything Else: These are cool ideas that OWASP supports.  When they submit, we give them some basic classification questions to figure out why a security professional would want to use them.  We create a system to search and sort these tools.  We help to pimp them when possible, but direction, vision, etc is driven by the individual project leads.  The only real requirement here is that the project is open source.  It doesn't even have to live on our servers.  We're effectively an index for these and do little more than that.  Maybe we track a last update or level of activity or something, but nothing more.</p>

</div><p class="MsoNormal" style="margin-bottom:12.0pt">All a project needs to do is submit a simple form and be verified as having the proper licensing/source availability to be listed on our site.  This should be easily manageable and scalable as we're just managing new submissions, not existing projects.  If one of those #2 projects ever decides that they are done running by themselves and wants #1 status, they can donate their code to OWASP and a technical council would give it a thumbs up or down as to whether it belongs in #1 project bucket.  The question ultimately being whether it's a project that is visionary and benefits the world at large or something solving some smaller corner case issue.  </p>

</div><p class="MsoNormal" style="margin-bottom:12.0pt">Under this model we can certainly have stakeholders, but the true owners of any OWASP project is the community.  The model provides recognition to all, but allows us to put our eggs in the basket with the tools that matter the most.  It helps to prioritize resources and allows the community to set the vision and direction of OWASP.</p>

</div><p class="MsoNormal" style="margin-bottom:12.0pt">So, what do you think?  I realize that this is a big time change in direction, but it's well in line with our mission and builds on our strengths rather than allowing us to skate along with our weaknesses.  I'm interested in your feedback.</p>

</div><p class="MsoNormal">~josh</p><div><div><p class="MsoNormal"> </p><div><div><div><div><div><p class="MsoNormal"> </p></div></div></div></div></div></div></div></div><p class="MsoNormal" style="margin-bottom:12.0pt">

<br>_______________________________________________<br>Owasp-board mailing list<br><a href="mailto:Owasp-board@lists.owasp.org" target="_blank">Owasp-board@lists.owasp.org</a><br><a href="https://lists.owasp.org/mailman/listinfo/owasp-board" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a></p>

</blockquote></div></div></div></div></div></blockquote></div><p class="MsoNormal"> </p></div></div></div></div></div>
</blockquote></div><br></div>