<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div>Since this is a commercial company, vendor neutrality encourages us to, at least, open a call to other vendors in the space.<br><br><div>--</div><div>Jim Manico</div><div>@Manicode</div><div>(808) 652-3805</div></div><div><br>On Oct 21, 2014, at 3:57 AM, Fabio Cerullo <<a href="mailto:fcerullo@owasp.org">fcerullo@owasp.org</a>> wrote:<br><br></div><blockquote type="cite"><div>Hi<div><br></div><div>Could you please review below and let me know your thoughts on running this joint activity with Bugcrowd?</div><div><br></div><div>It is basically the same concept of a bug bounty used at recent Appsec conferences but running on a global scale for a week.<span></span></div><div><br></div><div>Thanks</div><div>Fabio<br><br>---------- Forwarded message ----------<br>From: <b>Marisa Fagan</b> <<a href="mailto:marisa@bugcrowd.com">marisa@bugcrowd.com</a>><br>Date: Tuesday, October 21, 2014<br>Subject: Bugcrowd / OWASP: Bughunt week<br>To: Fabio Cerullo <<a href="mailto:fcerullo@owasp.org">fcerullo@owasp.org</a>>, Kelly Santalucia <<a href="mailto:kelly.santalucia@owasp.org">kelly.santalucia@owasp.org</a>><br>Cc: Casey Ellis <<a href="mailto:casey@bugcrowd.com">casey@bugcrowd.com</a>><br><br><br><div dir="ltr"><b>Proposal</b>:  **Bug Week 2015: ...and Bug Bounties for All**<div><br></div><div><b>Description</b>: 7 days of online competition to see who can find the most vulnerabilities in commercial software. Competitors are members of OWASP and supporting non-members who participate in Bugcrowd-hosted bug bounty programs. They're located all over the world and the competition field is online. Bugcrowd will be the platform, where the targets are as real world as it gets, with *30 companies putting their live software up for testing.  The best will rise to the top of the leaderboard. On the final day, a special elite tournament for only the Top 10 will be held around the world for 24 hours at 00:00 UTC. </div><div><br></div><div>In order to capture this energy and share in the learning, Bugcrowd will host a Bug Bash on location in their San Francisco headquarters on Thursday [date] to show the local community about what this is all about. Similarly, on the US East coast, there's another Bug Bash hosted by OWASP committee [to be arranged, maybe Boston chapter? They've expressed interest.] that will run in tandem to share via Skype. There's also a Bug Bash party running in [to be arranged, maybe Bangalore, India or Bogata, Colombia?] to share in the fun. </div><div><br></div><div>OWASP is a strong supporter of the information security research community, and has supported multiple crowdsourced security Bug Bash events. They also [fill in here... for example... Adopted the Open Source Responsible Disclosure Framework on their wiki resource and have multiple other resources on how to run a bug bounty program].</div><div><br></div><div>*Number of companies on the Bugcrowd platform changes often. Will update with true number closer to the date. <br><div></div></div><div><br></div><div><b>Date</b>: Sunday November 16th midnight - Sunday November 23rd midnight</div><div>          This is a suggested date based on avoiding holidays, we're open to another date if there's an overlap.</div><div><br></div><div><b>Requested Requirements from OWASP</b>:  </div><div>-- Marketing plan with PR team coordination (for in advance and week of event)</div><div>-- Mention in the next newsletter to OWASP members (When does this go out?)</div><div>-- Contribution of a First Place Prize (Suggestion: Trip to AppSecUSA 2015 with badge)</div><div>-- Access to OWASP Corporate Sponsors for collaboration with Bugcrowd</div><div>-- Connect to Local Chapter support for the local party event on Thursday</div><div>        -- Local advertising for event in local mailing list (SF and Boston?)</div><div>        -- Hosting and planning and sponsoring 1 (East Coast Chapter) Bug Bash party event with commitment to run it in tandem with the SF event (Boston? 30 ppl max... can explain more details separately)</div><div>-- Connect to OWASP engineering/technology to coordinate on an OWASP Bug Bounty program (pending OWASP approval)</div><div><br></div><div><b>Deliverables From Bugcrowd:</b></div><div>-- Coordinated marketing + advertising support (for in advance and during the week of the event)</div><div>-- Technical support for the Bugcrowd platform during the event week (which collects submissions, validates, and awards points for the leaderboard)</div><div>-- Online competition leaderboard website with content to explain the competition (hosted on <a href="http://bugcrowd.com" target="_blank">bugcrowd.com</a>)</div><div>-- Coordination with OWASP Corporate Sponsors... to offer them a place on the platform or other ways to collaborate</div><div>-- Hosting and organizing 1 local Bug Bash party evening event during the Bug Week in SF (all OWASP SF members invited)</div><div><br></div><div><br></div><div>Kelly, what more would you like to see here for a proposal? What do you think are the next steps? We're working with a short timeline... is that a dealbreaker?</div><div><br></div><div>Thanks as always!</div><div><br></div><div>-Marisa</div><img src="https://t.yesware.com/t/09122465ed7763459c9fb66e3c2ee1749e19e92a/98c6e533ba254a1656801394b2981203/spacer.gif" style="border:0;width:0px;min-height:0px" width="0" height="0"><img src="http://t.yesware.com/t/09122465ed7763459c9fb66e3c2ee1749e19e92a/98c6e533ba254a1656801394b2981203/spacer.gif" style="border:0;width:0px;min-height:0px" width="0" height="0"><font face="yw-09122465ed7763459c9fb66e3c2ee1749e19e92a-98c6e533ba254a1656801394b2981203--to"></font></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Oct 6, 2014 at 3:38 PM, Fabio Cerullo <span dir="ltr"><<a href="javascript:_e(%7B%7D,'cvml','fcerullo@owasp.org');" target="_blank">fcerullo@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Casey<div><br></div><div>Hope you are keeping well. Although we didn't have a chance to follow up on our conversation at AppSec USA, I met Marisa at Brucon last week. We discussed several ideas on how OWASP & Bugcrowd could work together and organise joint activities for the appsec community.</div><div><br></div><div>The main idea we came up was to organise a Bug Hunt Week during 2015.</div><div><br></div><div>The intention would be to organise a 1 week bug hunt as a global competition in 2015 (similar to the ones you are currently running at the AppSec conferences). Maybe we could organise this as a tournament where the top X winners get a ticket to a major OWASP Appsec conference (e.g. San Francisco 2015). And during that period, OWASP will actively promote the competition, and where possible, seek support from tech companies to have dedicated engineers working on fixing the bugs identified by researchers.</div><div><br></div><div>What do you think? I'm open to your suggestions/ideas.. just wanted to keep the conversation flowing.</div><div><br></div><div>Thanks<span><font color="#888888"><br></font></span></div><span><font color="#888888"><div>Fabio</div><div><br></div></font></span></div>
</blockquote></div><br></div>
<br></div>
</div></blockquote><blockquote type="cite"><div><span>_______________________________________________</span><br><span>Owasp-board mailing list</span><br><span><a href="mailto:Owasp-board@lists.owasp.org">Owasp-board@lists.owasp.org</a></span><br><span><a href="https://lists.owasp.org/mailman/listinfo/owasp-board">https://lists.owasp.org/mailman/listinfo/owasp-board</a></span><br></div></blockquote></body></html>