<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div>OWASP does NOT endorse ANY commercial services EVEN OUR SPONSORS. This is part of our bylaws. I say we focus on open source, free material and community service as is our mission. Let's keep our nose out of the commercial sector as much as we can.<br><br>My 2 cents.<br><div>--</div><div>Jim Manico</div><div>@Manicode</div><div>(808) 652-3805</div></div><div><br>On May 7, 2015, at 2:00 PM, Tom Brennan - OWASP <<a href="mailto:tomb@owasp.org">tomb@owasp.org</a>> wrote:<br><br></div><blockquote type="cite"><div><div dir="ltr">IMHO its rather simple when staff are asked for who can they do a training class with.. the default answer should be "You should send your RFQ to the following list of OWASP aware and supporting  organizations" <br><br>WHO?<br><br>These guys =  <a href="https://www.owasp.org/index.php/Corporate_Supporter_Bios">https://www.owasp.org/index.php/Corporate_Supporter_Bios</a><br><br>They can also suggest goto a local chapter and find locals as well hence introduce to local chapters<br><br><a href="https://www.owasp.org/index.php/OWASP_Chapter#Joining_your_local_chapter">https://www.owasp.org/index.php/OWASP_Chapter#Joining_your_local_chapter</a> <div>(there are many local chapters that have local supporters that do not have a global market.... hence only support local or a region)</div><div><br></div><div>They can also recommend OWASP supporters at the next AppSec example: <a href="https://2015.appsecusa.org/c/?page_id=77"> https://2015.appsecusa.org/c/?page_id=77</a></div><div><br></div><div><b>That is the politically correct and neutral position + a motivator for corporate supporters</b></div><div><br></div><div> ** Note this is NOT the same as a OWASP Conference managed by OWASP staff.. that follows the same model we have for years.</div><div><br></div><div>2 cents; glad to see operations trying things..... but should be proposed to the Board as they ultimately work for in the hierarchy per bylaws.  THere should never be a after the fact discussion like this, that shows lack of process.  Why was it not discussed as new business at a documented and recorded board meeting. </div><div><br></div><div>The onus is on the Board here not having a clear policy on this issued and then manage to the policy for the community.</div><div><br>See you all in Amsterdam<br><br><br>On Thu, May 7, 2015 at 4:36 PM, Josh Sokol <<a href="mailto:josh.sokol@owasp.org">josh.sokol@owasp.org</a>> wrote:<br>> I tend to agree with Jim, albeit for slightly different reasons and I'm not<br>> really sure it makes sense to shut it down if we've already agreed to terms<br>> on this.  I'm generally unconcerned about OWASP putting out a CFT for<br>> training as we do it all the time for conferences or other events like the<br>> one in NYC not too long ago.  The method of sending it out to all mailing<br>> lists was a bit unorthodox, but that's beside the point.  My concern is<br>> around the "openness" factor.  To me at least, having an open webinar does<br>> not equate to having access to training material content and a trainer.  The<br>> major difference is that this is NOT an open training.  We are not reserving<br>> a room someplace and putting out an open call for trainers based on<br>> addressing a desire from the community.  We have a private entity requesting<br>> a private training and are then trying to make up for that by having them<br>> offer a webinar as well.  It's not the same thing.  Not by a long shot.  If<br>> a training program like this were to succeed amongst the OWASP values then<br>> it should go something like this:<br>><br>> 1) A set of training materials is donated to OWASP as part of a new project.<br>> Those materials are open source and open to community contribution.<br>><br>> 2) OWASP sets a date and location for a training, perhaps based on a<br>> need/request, and puts out a public call for a trainer to facilitate using<br>> the training materials in #1.  Any supplemental materials the trainer would<br>> like to include would need to be contributed to the project for use by<br>> future trainers.<br>><br>> 3) The selection of the trainer needs to happen via an impartial group of<br>> people using an unbiased methodology.<br>><br>> 4) A public sign-up is initiated to fill slots for the training.<br>><br>> This is ground that we need to tread very lightly as we run the risk of<br>> competing against the very companies that fund us, making us a security<br>> vendor as Jim pointed out, and putting us in the position where we can no<br>> longer claim to be vendor-neutral.  At conferences, trainers propose the<br>> content and then the planners select what they think the attendees would<br>> like to attend.  It scares me that we equate that to a private company<br>> selecting the topic, filling up all slots, and then selecting a trainer to<br>> teach the content.<br>><br>> ~josh<br>><br>> On Thu, May 7, 2015 at 3:10 PM, Jim Manico <<a href="mailto:jim.manico@owasp.org">jim.manico@owasp.org</a>> wrote:<br>>><br>>> Paul,<br>>><br>>> I would like to shut this down because it makes us a security vendor. We<br>>> do not want to be that. We want to be an open source company where all of<br>>> our materials and projects are free. To support our strategic goal I suggest<br>>> we build free training materials for all to use.<br>>><br>>> ••• I admit I am biased because I am a professional trainer and will<br>>> excuse myself from any vote on this or other training issues.<br>>><br>>> Regards,<br>>> --<br>>> Jim Manico<br>>> @Manicode<br>>> (808) 652-3805<br>>><br>>> On May 7, 2015, at 1:04 PM, Paul Ritchie <<a href="mailto:paul.ritchie@owasp.org">paul.ritchie@owasp.org</a>> wrote:<br>>><br>>> To OWASP Board Group List:<br>>><br>>> I'm pleased to see a healthy discussion and strong viewpoints about<br>>> Training since this is one of our continuing Strategic Goals for 2015.  Let<br>>> me provide some 'first hand' information about this CFT.<br>>><br>>> Specifically, this opportunity came from a company who 'knows about OWASP'<br>>> and knows and respects our 'quality & style' of training.<br>>><br>>> They wanted some PCI training for their developers and their "end user<br>>> service reps" and they wanted OWASP to provide the training, not one of the<br>>> other commercial entities.<br>>><br>>> As we evaluating this, we determined it met several of our key goals and<br>>> objectives, so we decided to run it as a pilot or trial to see how it worked<br>>> out for the Community and OWASP.  Does it meet our Core valules?   Open? -<br>>> check, Innovative? - check, Global? - check, Done w/Integrity? - check.<br>>><br>>> 1.  It meets the Training goal, and more specifically it provides training<br>>> to ~125 Developers as well as ~1,000 customer service reps.<br>>> 2.  To keep opportunities 'open' we decided to make a broad Call For<br>>> Trainer, like we do at our AppSec Conferences.<br>>> 3.  To ensure the content was not exclusive, we required the open webinar<br>>> training to be produced<br>>> 4.  We are not providing any sort of "certification" for the training - it<br>>> is knowledge sharing only.<br>>> 5.  We have 3 submissions already under the CFT, and more than half a<br>>> dozen community members who volunteered to be on the content review team.<br>>><br>>> 6.  Background -- There has been discussion for many years about<br>>> leveraging a paid training program that was modeled after the successful<br>>> conference style training, as a possible revenue stream for the Foundation.<br>>> Many leaders have supported this in the past.  The conference style model<br>>> was attempted in a couple of different places ( Denver and NY) with mixed<br>>> results.  This is a sort of hybrid - on a small scale - to see how it works.  <br>>><br>>> Again, I'm encouraged by all the healthy discussion on Training, and I<br>>> acknowledge the strong opinions on this topic.  In summary, this opportunity<br>>> popped up, we were able to structure it to meet our goals, objectives &<br>>> policies, so we are investing time & resource to 'test' this new and<br>>> innovative approach.<br>>> You are welcome to reach out to me or Kate with questions.  Kate is<br>>> closest to this program and she can connect you with other leaders working<br>>> on this as needed.<br>>><br>>> Best Regards, Paul Ritchie<br>>> OWASP Executive Director<br>>> <a href="mailto:paul.ritchie@owasp.org">paul.ritchie@owasp.org</a><br>>><br>>> _______________________________________________<br>>> Owasp-board mailing list<br>>> <a href="mailto:Owasp-board@lists.owasp.org">Owasp-board@lists.owasp.org</a><br>>> <a href="https://lists.owasp.org/mailman/listinfo/owasp-board">https://lists.owasp.org/mailman/listinfo/owasp-board</a><br>>><br>>><br>>> _______________________________________________<br>>> Owasp-board mailing list<br>>> <a href="mailto:Owasp-board@lists.owasp.org">Owasp-board@lists.owasp.org</a><br>>> <a href="https://lists.owasp.org/mailman/listinfo/owasp-board">https://lists.owasp.org/mailman/listinfo/owasp-board</a><br>>><br>><br>><br>> _______________________________________________<br>> Owasp-board mailing list<br>> <a href="mailto:Owasp-board@lists.owasp.org">Owasp-board@lists.owasp.org</a><br>> <a href="https://lists.owasp.org/mailman/listinfo/owasp-board">https://lists.owasp.org/mailman/listinfo/owasp-board</a><br>></div></div>
</div></blockquote></body></html>