<div dir="ltr">This is a very interesting discussion.<div><br></div><div>I'm finalizing next week a report containing the testing results we did last year. In total we tested 40 projects (Code/Tools) from Flagship to Incubators.I will also give a presentation of my findings in EU</div><div><br></div><div>In the last year I have read at least 10 security books referencing OWASP ZAP, Cheat sheets, Testing Guide, ASVS and even Code review.  The CISSP /CSSLP latest versions has reference to the 'OWASP testing Guide'</div><div><br></div><div>These guides are referenced in PCI-DSS guide itself!!These are referenced as the 'OWASP guide' and not the OWASP top 10.</div><div><br></div><div>I hope with the results of this report, including conclusions, that the board can set a plan in conjunction with the community to give a proper boost to the Projects.</div><div><br></div><div>I think that OWASP has enough financial means, whether to look for sponsors, set a 'Project Support Team' to help boost them but keep in mind, providing the support only from volunteers to push such a big work is not realistic.</div><div><br></div><div>Regards</div><div><br></div><div>Johanna</div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Jan 9, 2015 at 6:35 PM, Jim Manico <span dir="ltr"><<a href="mailto:jim.manico@owasp.org" target="_blank">jim.manico@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto"><div>+1 Well said Michael<span class=""><br><br><div>--</div><div>Jim Manico</div><div>@Manicode</div><div><a href="tel:%28808%29%20652-3805" value="+18086523805" target="_blank">(808) 652-3805</a></div></span></div><div><div class="h5"><div><br>On Jan 9, 2015, at 5:34 PM, Michael Coates <<a href="mailto:michael.coates@owasp.org" target="_blank">michael.coates@owasp.org</a>> wrote:<br><br></div><blockquote type="cite"><div><div dir="ltr"><div><div>Good to see we have board representation passionate for all pillars of OWASP. Projects are crucial, chapters are crucial too. <br><br></div>It's not one or the other but rather how do we find ways to make each successful (and not at the expense of the other).<br><br></div>-Michael<br></div><div class="gmail_extra"><br clear="all"><div><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><br>--<br>Michael Coates<div>@_mwc<br></div><div>Join me at <a href="http://AppSecUSA.org" target="_blank">AppSecUSA</a> 2015 in San Francisco!</div><div><br></div><div><br><br></div></div></div></div></div></div></div></div>
<br><div class="gmail_quote">On Fri, Jan 9, 2015 at 1:26 PM, Jim Manico <span dir="ltr"><<a href="mailto:jim.manico@owasp.org" target="_blank">jim.manico@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto"><div>I fully agree with you Andrew. Projects provide the widest visibility into application security - more than all chapters and conferences combined - yet they get little funding or care since they are not revenue generating or whatnot.</div><div><br></div><div>I deeply think we should be funding architects, developers, and project management around our most important projects, at least.<br><br><div>--</div><div>Jim Manico</div><div>@Manicode</div><div><a href="tel:%28808%29%20652-3805" value="+18086523805" target="_blank">(808) 652-3805</a></div></div><div><div><div><br>On Jan 8, 2015, at 10:00 PM, Andrew van der Stock <<a href="mailto:vanderaj@owasp.org" target="_blank">vanderaj@owasp.org</a>> wrote:<br><br></div><blockquote type="cite"><div><div dir="ltr">Tobias,<div><br></div><div>I think funding based upon a gamified choice by chapter participants is the wrong approach. </div><div><br></div><div>As I noted in an earlier e-mail, we are famous for certain projects, and not chapters. We spend most of our Income on !famous projects. </div><div><br></div><div>We need a rebalancing to deliver our mission:</div><div><br></div><div>30% for projects (up from essentially 0%)</div><div>30% for outreach</div><div>30% for chapters and members</div><div>10% for admin overheads</div><div><br></div><div>Members have historically not spent chapter funds or taking any interest in directing in their use, either through a lack of knowledge that they had the funds or the desire or need to spend the money. I can't see this changing. </div><div><br></div><div>I'm all for member engagement, but we have some projects which are just hard work, that no one will invest in because they don't see the point, but we get a lot of engagement from outside the echo chamber, such as the CISO handbook, ESAPI (which is crying out for a proper coordinated release, but there's no one driving it to completion as it's really hard work), the code review testing and development guides (yes, I am biased), certification, education (especially the creation of open course ware with tertiary institutions engagement), OWASP information for PHP (it's in the top search items!), the OWASP Mobile project. I am certain we could get funding for Zap and the Mobile projects as they are sexy and used by our members, but our mission is to get out there, and "out there" wants the things I've mentioned. You can check yourself.</div><div><br></div><div>We really need to get to a position where we can inject funds into projects of mission significance, and give funds like in a GSoC or RedBook residence type of way to get good progress on hard to do, but essential projects. And members can affect that by getting involved in projects and applying for funds. That way, we're not just allowing chapters to allocate funds to dormant projects, which has little to no member engagement both on the giving and doing side. We need to engage the members so that they feel empowered to contribute to OWASP, and not just tell us how to re-allocate funds within our accounts.</div><div><br></div><div>thanks,</div><div>Andrew</div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Jan 8, 2015 at 8:34 PM, Tobias <span dir="ltr"><<a href="mailto:tobias.gondrom@owasp.org" target="_blank">tobias.gondrom@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
  

    
  
  <div bgcolor="#FFFFFF" text="#000000">
    <font face="Arial">Hi all, <br>
      <br>
      I just read some requests about project budgets and am wondering
      about an idea that just came to mind:<br>
      <br>
      Should we do a kind of project marketplace / competition for best
      ideas asking for funding by chapters? <br>
      <br>
      We have some projects which need a little funding and on the other
      hand we have chapters with buckets not knowing which projects are
      "hot" at the moment, and which may be big fans of specific
      projects (e.g. with guest talks, user communities, ...) and they
      might want to support individual projects to get results. <br>
      <br>
      This could be beneficial for both sides: <br>
      we could do a competition of projects asking for help from
      chapters maybe every 3-6 months. Projects would submit a paragraph
      what they need and what they plan to do with the money in the next
      six months. And chapter leaders would be invited to donate or
      support the projects with a little chip from their budgets. This
      could be in form of a simple "donate to project amount x from
      chapter bucket y" survey-form, or just via email. <br>
      <br>
      And chapters would "vote" for the projects they find interesting
      "with their feet". <br>
      <br>
      1. projects could get easier extra funding if needed. <br>
      2. chapters have a new way of learning of new cool stuff coming
      out and what might be interesting for their community<br>
      3. the chapter could easier find cool ideas for investment that
      matter to your chapter members most. <br>
      <br>
      The idea is still just a thought and very rough and needs some
      work. That's why I post it here for first feedback before going to
      the full community list. <br>
      <br>
      Any thoughts? <br>
      Good/bad/stupid? <br>
      Ideas to make it better? <br>
      <br>
      Best, Tobias<br>
      <br>
      <br>
      <br>
      <br>
    </font>
  </div>

<br>_______________________________________________<br>
Owasp-board mailing list<br>
<a href="mailto:Owasp-board@lists.owasp.org" target="_blank">Owasp-board@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-board" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a><br>
<br></blockquote></div><br></div>
</div></blockquote><blockquote type="cite"><div><span>_______________________________________________</span><br><span>Owasp-board mailing list</span><br><span><a href="mailto:Owasp-board@lists.owasp.org" target="_blank">Owasp-board@lists.owasp.org</a></span><br><span><a href="https://lists.owasp.org/mailman/listinfo/owasp-board" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a></span><br></div></blockquote></div></div></div>
<br>_______________________________________________<br>
Owasp-board mailing list<br>
<a href="mailto:Owasp-board@lists.owasp.org" target="_blank">Owasp-board@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-board" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a><br>
<br></blockquote></div><br></div>
</div></blockquote></div></div></div>
<br>_______________________________________________<br>
Owasp-board mailing list<br>
<a href="mailto:Owasp-board@lists.owasp.org">Owasp-board@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-board" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a><br>
<br></blockquote></div><br></div>