<div dir="ltr">Josh, I reviewed the Project Leaders Handbook prior to my email and that is why I used the wording "<span style="font-family:arial,sans-serif;font-size:13px">create an explicit policy".</span><div>
<span style="font-family:arial,sans-serif;font-size:13px"><br></span></div><div><span style="font-family:arial,sans-serif;font-size:13px">Look, I totally believe that any project which does analysis of data at OWASP _should_ have that data open so it can be reviewed by anyone.  I'm on your side here - if there really are sides.</span></div>
<div><span style="font-family:arial,sans-serif;font-size:13px"><br></span></div><div><span style="font-family:arial,sans-serif;font-size:13px">The thing that I think both of you are missing is that:</span></div><div><span style="font-family:arial,sans-serif;font-size:13px"><br>
</span></div><div><font face="arial, sans-serif">(1) The Project Leader Handbook at best tangentially handles this situation.  If you want this not to happen again, update the policy to explicitly handle it.  Your the board, its what boards do.  Write policy which empowers the staff to act on that policy.</font></div>
<div><font face="arial, sans-serif"><br></font></div><div><font face="arial, sans-serif">(2) Unless you want to appear to be a board which arbitrary applies policy to projects you have some dispute with, create said policy and enforce it going forward.  It is impossible to follow the rules which don't exist.  OWASP has gotten too large to do enforcement via cultural norms.  Write policy and work off that policy.  If there are projects that don't follow the new policy, then you have a framework to constructively discuss how to get them where they now need to be.  Otherwise, from a project leaders perspective, it feels like arbitrary enforcement.</font></div>
<div><font face="arial, sans-serif"><br></font></div><div>I know if someone told me there was some problem with WTE because of some undocumented obligation, especially if I had not been required to do so for years, I'd feel far more a victim that part of the community.  I sure don't want that for me and I'd not want that done to any project leader.  </div>
<div><br></div><div>Josh - just like you've aggressively advocated for Chapters (and thanks for that), I'm doing the same for projects.  I don't want to see a precedent where what hasn't bee a problem for years is suddenly a problem which must be addressed yesterday.</div>
<div><br></div><div>I share Jim's feelings about previous boards failing to act on the 2013 Top 10.   It sucks but that's how things happened.  You can't change the past but you can set a correct course for future projects and provide a path for ones off course to make any needed correction in reasonable time.</div>
<div><font face="arial, sans-serif"> </font></div></div><div class="gmail_extra"><br clear="all"><div>--<br>-- Matt Tesauro<br>OWASP WTE Project Lead<br><a href="http://www.owasp.org/index.php/Category:OWASP_Live_CD_Project" target="_blank">http://www.owasp.org/index.php/Category:OWASP_Live_CD_Project</a><br>
<a href="http://AppSecLive.org" target="_blank">http://AppSecLive.org</a> - Community and Download site<div>OWASP OpenStack Security Project Lead<div><a href="https://www.owasp.org/index.php/OWASP_OpenStack_Security_Project" target="_blank">https://www.owasp.org/index.php/OWASP_OpenStack_Security_Project</a></div>
</div></div>
<br><br><div class="gmail_quote">On Sun, Apr 13, 2014 at 4:48 PM, Josh Sokol <span dir="ltr"><<a href="mailto:josh.sokol@owasp.org" target="_blank">josh.sokol@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<p dir="ltr">Matt,</p>
<p dir="ltr">Please take a look at the OWASP Project Leader Handbook:</p>
<p dir="ltr"><a href="https://www.owasp.org/images/d/d8/PROJECT_LEADER-HANDBOOK_2014.pdf" target="_blank">https://www.owasp.org/images/d/d8/PROJECT_LEADER-HANDBOOK_2014.pdf</a></p>
<p dir="ltr">Specifically section 3.1 on Openness:</p>
<p dir="ltr">"Project source code must be made openly available"</p>
<p dir="ltr">Its in the 2013 handbook as well though I'd argue that this standard has gone back many years earlier as Christian Heinrich was suspended for failing to publish the source code for his OWASP project and Jeff and Dave were amongst those who set that standard.  While I see nothing wrong with Eoin being the one to go to them requesting it, I also see no issue with him trying to avoid a confrontation by asking Samantha to do it instead.  Enforcement should be part of her job, especially if its in the Project Leader Handbook.  And its far nicer than the Board appointing a group of people for inquiry on the openness of the project.</p>
<span class="HOEnZb"><font color="#888888">

<p dir="ltr">~josh</p></font></span><div class="HOEnZb"><div class="h5">
<div style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">> <span style="font-family:arial,sans-serif;font-size:13px"> I also don't think that it's unreasonable to ask that our project manager ensure that this exists before publishing any project to any one of the project categories.</span><div>


<span style="font-family:arial,sans-serif;font-size:13px"><br></span></div><div><span style="font-family:arial,sans-serif;font-size:13px">I fully agree with this going forward.  But you are asking for this retrospectively for the Top 10 2013.  </span></div>


<div><span style="font-family:arial,sans-serif;font-size:13px"><br></span></div><div><span style="font-family:arial,sans-serif;font-size:13px">If this is a standard that all projects should make according to the board, then the board should create an explicit policy to that effect and let the staff the enforce it going forward.  That would provide Samantha the mechanism she needs to make sure _future_ projects don't violate this policy.  It can also be used to correct any projects that are outside of this policy without being enforced after the project has already created a deliverable, in an ad hoc manner.</span></div>


<div><span style="font-family:arial,sans-serif;font-size:13px"><br></span></div><div><span style="font-family:arial,sans-serif;font-size:13px">However, I still contend that we've spent more time discussing who should ask when a simple email from Eoin to Dave and/or the Top 10 list would solve this issue.  It is simple, direct and transparent.</span></div>


</div><div class="gmail_extra"><br clear="all"><div>--<br>-- Matt Tesauro<br>OWASP WTE Project Lead<br><a href="http://www.owasp.org/index.php/Category:OWASP_Live_CD_Project" target="_blank">http://www.owasp.org/index.php/Category:OWASP_Live_CD_Project</a><br>


<a href="http://AppSecLive.org" target="_blank">http://AppSecLive.org</a> - Community and Download site<div>OWASP OpenStack Security Project Lead<div><a href="https://www.owasp.org/index.php/OWASP_OpenStack_Security_Project" target="_blank">https://www.owasp.org/index.php/OWASP_OpenStack_Security_Project</a></div>


</div></div>
<br><br><div class="gmail_quote">On Sun, Apr 13, 2014 at 3:34 PM, Josh Sokol <span dir="ltr"><<a href="mailto:josh.sokol@owasp.org" target="_blank">josh.sokol@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


<div dir="ltr"><div>I don't think that it's unreasonable to ask for the "source" (ie. how the document was generated) for a purported open source project.  I also don't think that it's unreasonable to ask that our project manager ensure that this exists before publishing any project to any one of the project categories.<span><font color="#888888"><br>



<br></font></span></div><span><font color="#888888">~josh<br></font></span></div><div class="gmail_extra"><br><br><div class="gmail_quote"><div>On Sun, Apr 13, 2014 at 3:22 PM, Eoin Keary <span dir="ltr"><<a href="mailto:eoin.keary@owasp.org" target="_blank">eoin.keary@owasp.org</a>></span> wrote:<br>



</div><div><div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto"><div>Dancing? Asking for information on how a project is made, which is allegedly opensource is a valid request.</div>



<div>Reason I'm asking Samantha is she is paid staff to manage projects for OWASP. </div><div>Simple really.</div><div><div><br><br>Eoin Keary<div>Owasp Global Board</div><div><a href="tel:%2B353%2087%20977%202988" value="+353879772988" target="_blank">+353 87 977 2988</a></div>



<div><br></div></div></div><div><div><div><br>On 13 Apr 2014, at 19:44, Michael Coates <<a href="mailto:michael.coates@owasp.org" target="_blank">michael.coates@owasp.org</a>> wrote:<br><br></div><blockquote type="cite">



<div><div dir="ltr"><div><div><div>Eoin,<br><br></div>Are we dancing around the elephant in the room? We know there are many calls for the top 10 to be more open. I hope people will join the project and push the top 10 process from it's beginning and create a very open 2015 top 10 with all these ideas  - we just need to get into the process at the beginning, not the end
 .<br>
<br></div>I guess my question is this - why not just ask the project mailing list for this information directly? Or are they not responding or refusing?<br><br>I don't think we have a model or expectation that a request to project X should flow through Samantha to simply relay that same request to the project mailing list. <br>




<br></div>Perhaps I'm missing something - help me understand?<br></div><div class="gmail_extra"><br clear="all"><div><div dir="ltr"><br>--<br>Michael Coates<br>@_mwc<br><br></div></div>
<br><br><div class="gmail_quote">On Sun, Apr 13, 2014 at 4:41 AM, Eoin Keary <span dir="ltr"><<a href="mailto:eoin.keary@owasp.org" target="_blank">eoin.keary@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">




Hi Samantha,<br>
I am formally requesting that as projects manager you obtain the data, work papers and associated statistic model for the owasp top 10. This is a core owasp project and needs to be assessed such that we can leverage it for other endeavours.<br>





Thanks in advance.<br>
Eoin.<br>
<br>
<br>
Eoin Keary<br>
Owasp Global Board<br>
<a href="tel:%2B353%2087%20977%202988" value="+353879772988" target="_blank">+353 87 977 2988</a><br>
<br>
_______________________________________________<br>
Owasp-board mailing list<br>
<a href="mailto:Owasp-board@lists.owasp.org" target="_blank">Owasp-board@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-board" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a><br>
</blockquote></div><br></div>
</div></blockquote></div></div></div><br>_______________________________________________<br>
Owasp-board mailing list<br>
<a href="mailto:Owasp-board@lists.owasp.org" target="_blank">Owasp-board@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-board" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a><br>
<br></blockquote></div></div></div><br></div>
<br>_______________________________________________<br>
Owasp-board mailing list<br>
<a href="mailto:Owasp-board@lists.owasp.org" target="_blank">Owasp-board@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-board" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a><br>
<br></blockquote></div><br></div>
</div>
</div></div></blockquote></div><br></div>