<div dir="ltr"><span style="font-size:12.8000001907349px"> I'm not a man that would say that "the board should do this or that" which I keep hearing in this thread.</span><br><div><span style="font-size:12.8000001907349px"><br></span></div><div><span style="font-size:12.8000001907349px">Kostas, this initiative is asking 30,000 USD, the people responsible for the final decision is the board. This is the reason why a board exist and is involved.</span></div><div><br></div><div><span style="font-size:12.8000001907349px"><br></span></div><div><span style="font-size:12.8000001907349px">Lets put it this way, just an example, if you were able to get a sponsor to give you this money, no questions asked, well then you wont have me or the board probably involved influencing these decisions.</span></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Apr 8, 2015 at 9:12 AM, johanna curiel curiel <span dir="ltr"><<a href="mailto:johanna.curiel@owasp.org" target="_blank">johanna.curiel@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><span style="font-size:12.8000001907349px"> they did so by excluding large and successful orgs exactly because they know that such kinds of orgs are very likely to keep on developing their projects anyway.\</span><br><div><span style="font-size:12.8000001907349px"><br></span></div><div><span style="font-size:12.8000001907349px">Well let me tell you , there are some big ones that still are there, such as R who has been from the beginning and are running a very successful program since 2005</span></div><span class=""><div><span style="font-size:12.8000001907349px"><br></span></div><div><span style="font-size:12.8000001907349px">I'm also puzzled as I didn't see you voice such concerns when people posted ideas about GSOC projects last year. In detail, there were projects that didn't have a single line of code (I don't call this simply dormant, I call it a "dead" project) and yet they submitted GSOC proposals that practically involved building the first version of the project.</span><span style="font-size:12.8000001907349px"><br></span></div><div><span style="font-size:12.8000001907349px"><br></span></div></span><div><span style="font-size:12.8000001907349px">Well it was at the time the chance for everyone right? That is what is was, no one setup rules or forbid anyone for participating...</span></div><span class=""><div><span style="font-size:12.8000001907349px"><br></span></div><div><span style="font-size:12.8000001907349px"> Why all projects could participate last year and now only flagship?</span><span style="font-size:12.8000001907349px"><br></span></div><div><span style="font-size:12.8000001907349px"><br></span></div></span><div><span style="font-size:12.8000001907349px">Maybe because we are now paying instead of Google... ;-)</span></div></div><div class="HOEnZb"><div class="h5"><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Apr 8, 2015 at 9:02 AM, Konstantinos Papapanagiotou <span dir="ltr"><<a href="mailto:Konstantinos@owasp.org" target="_blank">Konstantinos@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div><div>Personally, I would mostly be concerned to find out what those projects need in order to boost development.<br></div>Of course, once more you've got it all wrong for GSOC, as it is open to all open source organizations, regardless of quality, size, or any other criteria. And actually this year they had to limit the number of accepted organizations and they did so by excluding large and successful orgs exactly because they know that such kinds of orgs are very likely to keep on developing their projects anyway.<br></div>Awarding successful projects is in my opinion equally important to giving incentives to not so active projects in order to develop. Otherwise OWASP will become a 10 flagship project organization. Unless that's our strategy. I don't know.<br><br></div>I'm also puzzled as I didn't see you voice such concerns when people posted ideas about GSOC projects last year. In detail, there were projects that didn't have a single line of code (I don't call this simply dormant, I call it a "dead" project) and yet they submitted GSOC proposals that practically involved building the first version of the project. And these projects got a GSOC slot and now they have their first codebase. Why all projects could participate last year and now only flagship?<br><br></div>Kostas<div><div><br><div><div><div><div><div><div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Apr 8, 2015 at 3:05 PM, johanna curiel curiel <span dir="ltr"><<a href="mailto:johanna.curiel@owasp.org" target="_blank">johanna.curiel@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><span><span style="font-size:13px">I'm sorry but I cannot support this. Flagship projects are already advanced, stable projects with a lot of development effort behind them and a large team of volunteers to support them</span><br><div><span style="font-size:13px"><br></span></div></span><div><span style="font-size:13px">Let me clarify </span>something. After reviewing projects such as Flasghips, and I have been doing this for about 2 years, these are , by most ,the product of the <i>hard work of their leaders</i>, not of a <i>large</i> team of volunteers. Look at the repository commits and you will see is, that there is not a <i>huge</i> amount of people working on them, but a couple at most 1 or 2 during different seasons or months. Their leaders have master the ability to <i>engage</i> volunteer efforts thats is an accomplishment we should encourage and give credit for.</div><div><br></div><div>Some of them have sponsors, some of them can afford to work on their project more than others, but I hope your misconception of a huge team of volunteers is corrected.Or even a huge budget. sk Abraham, Simon or Azzedine Ramrari...</div><div><br></div><div>Hackademics is a lab project at the moment right? Well, LABS also get benefits, maybe we should include them in this part. Not all of these are active, some have not even had commits in 6 months or even an entire year and most have only at max  1 contributor . That will make the list even shorter for the projects that can actually participate.</div><div><br></div><div>OWASP board should ask : <i>why do we want to pump money on projects that have hardly time to dedicate development efforts and why they fail at getting volunteers?</i></div><div><i><br></i></div><div><i>Maybe thats the reason why Gsoc has make the participation limited to more quality than quantity? (I'm just speculating)</i></div><div><i><br></i></div><div>The tools and code classified as flagships is a different breed that LABS. Thats the whole point of getting more benefits because they just work harder than the rest. They don't get this projects off the ground just by doing Gsoc. These initiatives can help them concrete and improve many things to make them better, but lets keep in mind by no means, I mean that they have reach this stage just because they have money or a battalion of volunteers, that is a <i>huge</i> misconception</div><div><br></div><div><h4 style="color:black;background-image:none;margin:0.3em 0px 0px;overflow:hidden;padding-top:0.5em;padding-bottom:0px;border-bottom-style:none;line-height:20px;font-family:sans-serif"><span>Tools [Reviewed February 2015]</span></h4><ul style="line-height:1.5em;margin:0.3em 0px 0px 1.6em;padding:0px;color:rgb(54,43,54);font-family:sans-serif"><li style="margin-bottom:0.1em"><a href="https://www.owasp.org/index.php/OWASP_Hackademic_Challenges_Project" title="OWASP Hackademic Challenges Project" style="text-decoration:none;color:rgb(11,0,128);background-image:none" target="_blank">OWASP Hackademic Challenges Project</a></li><li style="margin-bottom:0.1em"><a href="https://www.owasp.org/index.php/OWASP_Mantra_-_Security_Framework" title="OWASP Mantra - Security Framework" style="text-decoration:none;color:rgb(11,0,128);background-image:none" target="_blank">OWASP Mantra Security Framework</a></li><li style="margin-bottom:0.1em"><a href="https://www.owasp.org/index.php/OWASP_O2_Platform" title="OWASP O2 Platform" style="text-decoration:none;color:rgb(11,0,128);background-image:none" target="_blank">OWASP O2 Platform</a></li><li style="margin-bottom:0.1em"><a href="https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project" title="Category:OWASP WebGoat Project" style="text-decoration:none;color:rgb(11,0,128);background-image:none" target="_blank">OWASP WebGoat Project</a></li><li style="margin-bottom:0.1em"><a href="https://www.owasp.org/index.php/O-Saft" title="O-Saft" style="text-decoration:none;color:rgb(11,0,128);background-image:none" target="_blank">O-Saft</a></li><li style="margin-bottom:0.1em"><a href="https://www.owasp.org/index.php/Category:OWASP_EnDe" title="Category:OWASP EnDe" style="text-decoration:none;color:rgb(11,0,128);background-image:none" target="_blank">OWASP EnDe Project</a></li><li style="margin-bottom:0.1em"><a href="https://www.owasp.org/index.php/OWASP_Passfault" title="OWASP Passfault" style="text-decoration:none;color:rgb(11,0,128);background-image:none" target="_blank">OWASP Passfault</a></li><li style="margin-bottom:0.1em"><a href="https://www.owasp.org/index.php/OWASP_Mobile_Security_Project" title="OWASP Mobile Security Project" style="text-decoration:none;color:rgb(11,0,128);background-image:none" target="_blank">OWASP Mobile Security Project</a></li><li style="margin-bottom:0.1em"><a href="https://www.owasp.org/index.php/OWASP_Xenotix_XSS_Exploit_Framework" title="OWASP Xenotix XSS Exploit Framework" style="text-decoration:none;color:rgb(11,0,128);background-image:none" target="_blank">OWASP Xenotix XSS Exploit Framework</a></li><li style="margin-bottom:0.1em"><h4 style="color:black;background-image:none;margin:0.3em 0px 0px;overflow:hidden;padding-top:0.5em;padding-bottom:0px;border-bottom-style:none;line-height:20px"><span>Code [Reviewed February 2015]</span></h4><ul style="line-height:1.5em;list-style-type:disc;margin:0.3em 0px 0px 1.6em;padding:0px"><li style="margin-bottom:0.1em"><a href="https://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API" title="Category:OWASP Enterprise Security API" style="text-decoration:none;color:rgb(11,0,128);background-image:none" target="_blank">OWASP Enterprise Security API</a></li></ul></li></ul></div></div><div><div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Apr 8, 2015 at 7:31 AM, Konstantinos Papapanagiotou <span dir="ltr"><<a href="mailto:Konstantinos@owasp.org" target="_blank">Konstantinos@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">I'm sorry but I cannot support this. Flagship projects are already advanced, stable projects with a lot of development effort behind them and a large team of volunteers to support them. Yes, as an organization we should award them but at the same time and maybe even more importantly we should help smaller and not so advanced projects by giving them a chance to get some work done and also provide visibility. This is why this should be open to all projects.<div><br></div><div>Kostas</div><div><div><div><span></span><br><br>On Wednesday, April 8, 2015, johanna curiel curiel <<a href="mailto:johanna.curiel@owasp.org" target="_blank">johanna.curiel@owasp.org</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><span style="font-size:13px">I thought you were not interested in getting involved with this.</span><br><div><span style="font-size:13px"><br></span></div><div>No, I have always been interested, I have always shown my collaboration and interested and offered my help before this discussion.</div><div>I was discouraged at some point, that is something different. I don't behave in my interest <i>only</i> but in the interest of the entire team. <i><u>Thats why I propose the following:</u></i></div><div><br></div><div>I think we still need to run a similar program, because we don't know if we will ever get Google the next time, no guarantees. Therefore I propose a program, for only for Flagships. </div><div><br></div><div><i>Why?</i></div><div>We preach that these projects get more benefits as stated in the OWASP project book,they have shown their handwork, they deserve it.In that case I think a special program, for flagships to get students to work during the summer is a perfect case.</div><div><br></div><div>we have in total 8 Flagship projects (Code/Tools)</div><div><h4 style="color:black;background-image:none;margin:0.3em 0px 0px;overflow:hidden;padding-top:0.5em;padding-bottom:0px;border-bottom-style:none;line-height:20px;font-family:sans-serif"><span>Tools [Reviewed September 2014]</span></h4><ul style="line-height:1.5em;margin:0.3em 0px 0px 1.6em;padding:0px;color:rgb(54,43,54);font-family:sans-serif"><li style="margin-bottom:0.1em"><a href="https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project" title="OWASP Zed Attack Proxy Project" style="text-decoration:none;color:rgb(11,0,128);background-image:none" target="_blank">OWASP Zed Attack Proxy</a>==> Active</li><li style="margin-bottom:0.1em"><a href="https://www.owasp.org/index.php/OWASP_Web_Testing_Environment_Project" title="OWASP Web Testing Environment Project" style="text-decoration:none;color:rgb(11,0,128);background-image:none" target="_blank">OWASP Web Testing Environment Project</a>==>Dormant</li><li style="margin-bottom:0.1em"><a href="https://www.owasp.org/index.php/OWASP_OWTF" title="OWASP OWTF" style="text-decoration:none;color:rgb(11,0,128);background-image:none" target="_blank">OWASP OWTF</a>==>Active</li><li style="margin-bottom:0.1em"><a href="https://www.owasp.org/index.php/OWASP_Dependency_Check" title="OWASP Dependency Check" style="text-decoration:none;color:rgb(11,0,128);background-image:none" target="_blank">OWASP Dependency Check</a>==>Active</li></ul><h4 style="color:black;background-image:none;margin:0.3em 0px 0px;overflow:hidden;padding-top:0.5em;padding-bottom:0px;border-bottom-style:none;line-height:20px;font-family:sans-serif"><span>Code [Reviewed November 2014]</span></h4><ul style="line-height:1.5em;margin:0.3em 0px 0px 1.6em;padding:0px;color:rgb(54,43,54);font-family:sans-serif"><li style="margin-bottom:0.1em"><a href="https://www.owasp.org/index.php/Category:OWASP_ModSecurity_Core_Rule_Set_Project" title="Category:OWASP ModSecurity Core Rule Set Project" style="text-decoration:none;color:rgb(11,0,128);background-image:none" target="_blank">OWASP ModSecurity Core Rule Set Project</a>==>Active</li><li style="margin-bottom:0.1em"><a href="https://www.owasp.org/index.php/Category:OWASP_CSRFGuard_Project" title="Category:OWASP CSRFGuard Project" style="text-decoration:none;color:rgb(11,0,128);background-image:none" target="_blank">OWASP CSRFGuard Project</a>==>Active</li><li style="margin-bottom:0.1em"><a href="https://www.owasp.org/index.php/OWASP_AppSensor_Project" title="OWASP AppSensor Project" style="text-decoration:none;color:rgb(11,0,128);background-image:none" target="_blank">OWASP AppSensor Project</a>==>Active</li></ul><div><br></div></div><div><font face="sans-serif" color="#362b36"><span style="line-height:19.5px">All these projects have the opportunity to apply for 1 slot</span></font></div><div><font face="sans-serif" color="#362b36"><span style="line-height:19.5px"><br></span></font></div><div><font face="sans-serif" color="#362b36"><span style="line-height:19.5px">6 projects are active, that makes 3000 x 6 = USD18,000</span></font></div><div><font face="sans-serif" color="#362b36"><span style="line-height:19.5px">1 is dormant and is an image(not really a code project)</span></font></div><div><font face="sans-serif" color="#362b36"><span style="line-height:19.5px"><br></span></font></div><div><font face="sans-serif" color="#362b36"><span style="line-height:19.5px">if everyone gets a student, one slot , there is no fights who deserve them, no need for org decision teams, no discussions.</span></font></div><div><br></div><div><font face="sans-serif" color="#362b36"><span style="line-height:19.5px">Again, they all can submit a student of their choice and substantiate why.</span></font></div><div><font face="sans-serif" color="#362b36"><span style="line-height:19.5px">The projects are responsible for doing their midterm evaluation and we just need to do 2 checks:</span></font></div><div><ul><li><font face="sans-serif" color="#362b36"><span style="line-height:19.5px">Substantiation of why the student was chosen</span></font></li><li><span style="line-height:19.5px;color:rgb(54,43,54);font-family:sans-serif">Submission proposals completed</span><br></li><li><font face="sans-serif" color="#362b36"><span style="line-height:19.5px">Students have submitted  a </span></font><span style="color:rgb(37,37,37);font-family:sans-serif;font-size:14px;line-height:22px">Student Participation Agreement and submit their Proof of Enrollment forms.</span><br></li><li><span style="color:rgb(37,37,37);font-family:sans-serif;font-size:14px;line-height:22px">Must be submitted by end of April</span></li><li><font face="sans-serif" color="#252525"><span style="font-size:14px;line-height:22px">End of the program make sure the code has been place in an pen repository</span></font></li></ul><div><font face="sans-serif" color="#252525"><span style="font-size:14px;line-height:22px">We only need staff support for paying the students at 2 points:</span></font></div></div><div><ul><li><span style="font-size:14px;line-height:22px;color:rgb(37,37,37);font-family:sans-serif">During the midterm evaluation</span><br></li><li><span style="font-size:14px;line-height:22px;color:rgb(37,37,37);font-family:sans-serif">at the end of the internship</span><br></li></ul></div><div><font face="sans-serif" color="#252525"><span style="font-size:14px;line-height:22px"><br></span></font></div><div><font face="sans-serif" color="#252525"><span style="font-size:14px;line-height:22px"><b>IF you vote for this plan, I'll personal help move this forward and make sure that all Flagships are updated with this info, so they can go ahead a place a submission.This is my proposal, everyone is welcome to help.</b></span></font></div><div><font face="sans-serif" color="#252525"><span style="font-size:14px;line-height:22px"><br></span></font></div><div><br></div><div><font face="sans-serif" color="#362b36"><span style="line-height:19.5px">Regards</span></font></div><div><font face="sans-serif" color="#362b36"><span style="line-height:19.5px"><br></span></font></div><div><font face="sans-serif" color="#362b36"><span style="line-height:19.5px">Johanna</span></font></div><div><span style="font-size:13px"><br></span></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Apr 8, 2015 at 1:47 AM, Konstantinos Papapanagiotou <span dir="ltr"><<a>Konstantinos@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div dir="ltr"><div>Hopefully next year we might get selected again by GSOC so we might not need this program. Or we might choose to run it in ay case, taking care that it doesn't happen the same time as GSOC, if selected.<br><br></div>Kostas<br></div><div><div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Apr 8, 2015 at 5:12 AM, Jim Manico <span dir="ltr"><<a>jim.manico@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">I think this is fair input Kevin.<br>
<br>
What if we plan this year with the intention of making it a yearly<br>
endeavor and roll it out in 2016? That way we are not rushing to spend<br>
30k and instead we do careful planning, get these funds formally in<br>
the budget and then roll it out with more grace? I think that's better<br>
for the foundation.<br>
<br>
Aloha,<br>
--<br>
Jim Manico<br>
@Manicode<br>
<a href="tel:%28808%29%20652-3805" value="+18086523805" target="_blank">(808) 652-3805</a><br>
<br>
> On Apr 7, 2015, at 8:49 PM, Kevin W. Wall <<a>kevin.w.wall@gmail.com</a>> wrote:<br>
><br>
> On Tue, Apr 7, 2015 at 9:32 PM, johanna curiel curiel<br>
> <<a>johanna.curiel@owasp.org</a>> wrote:<br>
> [...snip...]<br>
>> Just keep in mind<br>
>><br>
>> Running this program is a lot of work<br>
>> Submissions, proposals forms etc, the entire workflow<br>
>> Do we have enough volunteers to run this show?<br>
>><br>
>><br>
>> With all due respect to Kostas, this is not something he can run alone. The<br>
>> Gsoc is run by Google and we only do a small portion as organisation admin<br>
>> and Mentoring, compared to the entire program<br>
>> Here is an entire administration, back office, payment, revision of progress<br>
>> etc..so lets be honest, can we run this with a small bunch of volunteers?<br>
>> Are these volunteers committed?<br>
>> Most people do not have time, so lets be realistic, especially and<br>
>> considering we also have a responsibility with this money<br>
><br>
> All good points and I have seriously doubted whether OWASP would be<br>
> unable to do all of the things necessary to pull this off at least for THIS<br>
> SUMMER. Time certainly is not something that is on our side.  I fear<br>
> that all we are seeing with respect to the # of volunteer hours is but<br>
> the tip of the iceberg and it as you say that we are missing the much<br>
> bigger effort that goes on behind the scenes. If we had a whole year<br>
> to prepare for this, then, yeah, we probably could pull it off, but with<br>
> only a few months remaining until traditional summer break, I personally<br>
> don't see it as very realistic expectations.<br>
><br>
> I'll go crawl back under my rock again now and just sit back and watch,<br>
> because I did not intend to participate as a GSoC (tor)mentor this<br>
> yes so I will be sitting this out as well. However, I wish you all the<br>
> best and applaud your good intentions.<br>
><br>
> -kevin<br>
> --<br>
> Blog: <a href="http://off-the-wall-security.blogspot.com/" target="_blank">http://off-the-wall-security.blogspot.com/</a><br>
> NSA: All your crypto bit are belong to us.<br>
> _______________________________________________<br>
> Owasp-board mailing list<br>
> <a>Owasp-board@lists.owasp.org</a><br>
> <a href="https://lists.owasp.org/mailman/listinfo/owasp-board" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a><br>
_______________________________________________<br>
Owasp-board mailing list<br>
<a>Owasp-board@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-board" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a><br>
</blockquote></div><br></div>
</div></div><br>_______________________________________________<br>
Owasp-board mailing list<br>
<a>Owasp-board@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-board" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a><br>
<br></blockquote></div><br></div></div>
</blockquote></div>
</div></div></blockquote></div><br></div>
</div></div></blockquote></div><br></div></div></div></div></div></div></div></div></div></div>
</blockquote></div><br></div>
</div></div></blockquote></div><br></div>