<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div>> <span style="background-color:rgba(255,255,255,0)">I would also say that since the apache foundation started, there is a totally different landscape for collaborating on open source software.  Back then, someone had to run cvs/subversion, support distributing binaries, provide licensing options and provide a web page.  Now, we get that for free with a click on github.  What is the material support we can provide?</span></div><div><br></div><div>This is a really good point. Almost every tool that open source projects need to be successful are now free from code repos to testing services to bug trackers. The foundation does not really need to purchase these services for open source projects.</div><div><br></div><div>But we •are• a software foundation. There are millions and millions of lines of code under the OWASP banner and it would be irresponsible of us to shut that down in any way. Do not underestimate the power of ZAP, Dependency Check and other OWASP projects to disrupt the market. Like I've said several business leaders have personally asked me to shut down ZAP which is a foolish thing to ask of me.</div><div><br></div><div>Also, take ESAPI. ESAPI had the potential of being the best security library on the planet but it's no longer being maintained. I think spending OWASP funds to hire developers to work on it or at least fix the critical bugs would have massive positive benefits for the world.<br><br>We •need• to be disruptive to serve the mission. The commercial space is not doing a great job in protecting the world from application security risk. It's our job to spread the world, think BIG, and disrupt the security space for the better.</div><div><br></div><div>Respectfully,<br><div>--</div><div>Jim Manico</div><div>@Manicode</div><div>(808) 652-3805</div></div><div><br>On Mar 4, 2015, at 4:31 AM, Matt Konda <<a href="mailto:matt.konda@owasp.org">matt.konda@owasp.org</a>> wrote:<br><br></div><blockquote type="cite"><div><div dir="ltr">Hi all,<div><br></div><div>This is an interesting discussion.  </div><div><div><br></div><div>I would vote yes to do 30K for GSOC like project sponsorships, HOWEVER I actually think that OWASP should not be in the business of building software.  That may seem contradictory but let me explain.</div><div><br></div><div>I would vote yes for near term funding project sponsorships because: </div><div><ul><li>Certain innovative projects push the industry forward</li><li>Having a bit of additional work on a given project can help mature them</li><li>It is a great way to get people involved</li><li>It is great to be able to support and lend community to ambitious and motivated leaders</li></ul></div><div>Collectively, I think these aspects make it like a little appsec petri dish where people can learn and good things can happen.</div><div><br></div><div>The reason I don't think OWASP should aim to be "building software" is that it is really hard to do well even with money, 30 person dev teams, QA, marketing teams and sales teams - PER PRODUCT.  There are also a lot of really hard choices that go into that.  I think if we underestimate how hard it is to build really good software, we do a disservice to ourselves in the long run.</div><div><br></div><div>We could also end up undermining our credibility on the information front.  </div><div><br></div><div>I don't care much or at all about disrupting existing vendors that are sponsors.  If OWASP tools can disrupt them with almost no money and some volunteers, how great can their product be?  </div><div><br></div><div>That being said, I've used dependency-check and ZAP and they are some of the better tools from OWASP, but in my experience, they are not at the same level as commercial tools.  For those two there are lots you can't even start to use.  Would we become totally focused on ZAP?  I honestly believe its actually better to have more immature projects that highlight appsec areas, get people involved and interested and could potentially be references for commercial ventures later than to focus on one tool and try to build an entity around that.</div><div><br></div><div>All this being said, I am open to <i>considering</i> an apache like model where, as I understand it, most of the development is volunteer driven and the projects are not funded - but they are presented in an organized way.  I think this is a lot of work too - but I'd be open to it if we could define it and demonstrate how the value works.  Take tools like brakeman or repsheet or modsecurity - why shouldn't they be things we reference and support - but what can we give them that is of value?  Why would they want to be associated with OWASP?  Unless we can give them a great answer, we're probably wasting our time.</div><div><br></div><div>I would also say that since the apache foundation started, there is a totally different landscape for collaborating on open source software.  Back then, someone had to run cvs/subversion, support distributing binaries, provide licensing options and provide a web page.  Now, we get that for free with a click on github.  What is the material support we can provide?</div><div><br></div><div>Regards,<br></div><div>Matt</div><div><br></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Mar 3, 2015 at 2:30 PM, Jim Manico <span dir="ltr"><<a href="mailto:jim.manico@owasp.org" target="_blank">jim.manico@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto"><div>+1 I agree with Joshs perspective on this. I'd personally vote no if I had to make a decision on these funds today.<br><br><div>--</div><div>Jim Manico</div><div>@Manicode</div><div><a href="tel:%28808%29%20652-3805" value="+18086523805" target="_blank">(808) 652-3805</a></div></div><div><div class="h5"><div><br>On Mar 3, 2015, at 2:25 PM, Josh Sokol <<a href="mailto:josh.sokol@owasp.org" target="_blank">josh.sokol@owasp.org</a>> wrote:<br><br></div><blockquote type="cite"><div><div dir="ltr"><div><div>To some extent, I think this gets back to the "should OWASP pay people to work on it's tools" debate.  In my personal opinion, I think that the answer is "yes", provided that we:<br><ul><li>Have a pre-defined scope for the opportunity with specific milestones required</li><li>Have a pre-defined award for completing the opportunity</li><li>Publicly publish any and all opportunities so that anyone can express an interest in them<br></li><li>Have a formal selection process with ideally a committee of leaders making the selections</li><li>Those involved in the selection process cannot also submit</li><li>Those involved in the selection process are also responsible for assessing completion<br></li><li>All work produced is provided under the same open source license as the project<br></li></ul></div>If we have agreement on these points, then I would suggest extending Fabio's proposal to be a much broader OWASP call for ideas (not just GSoC submissions).  Put a two week limit on submissions and, once expired, put all reasonable ideas someplace public.  Submit a press release stating that we are looking for students interested in tackling these challenges and providing the details.  As long as this is no longer GSoC, then we get to make up our own rules, and I think that we should take a step back to evaluate how WE would want this to work.  What goal do WE want to accomplish with this initiative.  I'm all for allocating $30k here, but don't just want it to be OWASP's rejected rehashing of GSoC.<br><br></div>~josh<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Mar 3, 2015 at 1:49 PM, Fabio Cerullo <span dir="ltr"><<a href="mailto:fcerullo@owasp.org" target="_blank">fcerullo@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word">Dear all,<div><br></div><div>As you probably know by now, we have not been accepted to Google Summer of Code this year.</div><div><br></div><div>Usually, this is a major push for projects during the year as experienced by ZAP, OWTF, Appsensor, Hackademics, Seraphimdroid, etc. For a full list of ideas in 2015 please check the following URL:</div><div><br></div><div><a href="https://www.owasp.org/index.php/GSoC2015_Ideas" target="_blank">https://www.owasp.org/index.php/GSoC2015_Ideas</a></div><div><br></div><div>In order to keep the momentum going and progress those projects, I would like to request an extraordinary budget allocation of 30K USD to cover up to 10 student slots at 3K each. Usually Google pays 5500 USD per student during GSOC. We will use the same structure as previous years with Kostas/me as org admins, the project leaders who usually participate in GSOC (Core team) will pick the best student submissions and then a group of dedicated OWASP volunteers who every year act as mentors for the students. We could establish a mid-term and full term evaluation where if a student is failed mid-term he/she will only receive half the funds (1500 USD). If the student is approved full term, he/she receives the full amount (3000 USD).</div><div><br></div><div>I understand this is a non-planned expenditure, but considering the importance of GSOC in the last couple of years to progress OWASP coding projects, I think is imperative to take some action considering the current scenario.</div><div><br></div><div>If you have any questions, please let us know.</div><div><br></div><div>Thanks</div><span><font color="#888888"><div>Fabio</div></font></span></div><br>_______________________________________________<br>
Owasp-board mailing list<br>
<a href="mailto:Owasp-board@lists.owasp.org" target="_blank">Owasp-board@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-board" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a><br>
<br></blockquote></div><br></div>
</div></blockquote><blockquote type="cite"><div><span>_______________________________________________</span><br><span>Owasp-board mailing list</span><br><span><a href="mailto:Owasp-board@lists.owasp.org" target="_blank">Owasp-board@lists.owasp.org</a></span><br><span><a href="https://lists.owasp.org/mailman/listinfo/owasp-board" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a></span><br></div></blockquote></div></div></div>
<br>_______________________________________________<br>
Owasp-board mailing list<br>
<a href="mailto:Owasp-board@lists.owasp.org">Owasp-board@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-board" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a><br>
<br></blockquote></div><br></div>
</div></blockquote></body></html>