<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div>+1<br><br><div>--</div><div>Jim Manico</div><div>@Manicode</div><div>(808) 652-3805</div></div><div><br>On May 7, 2015, at 2:08 PM, Tobias <<a href="mailto:tobias.gondrom@owasp.org">tobias.gondrom@owasp.org</a>> wrote:<br><br></div><blockquote type="cite"><div>
  
    <meta content="text/html; charset=windows-1252" http-equiv="Content-Type">
  
  
    <div class="moz-cite-prefix">I tend to agree with Josh, that this is
      a sensitive situation and we should be careful. <br>
      <br>
      Maybe to give another comparison that came to my mind: <br>
      You could see it as if we were to help a company hire a
      contractor. That this person is training OWASP materials is nice,
      but does not get us away from the fact that we do recruiting for
      one company. <br>
      Normally we would not use our global "catch-all"-list for such a
      feature, even for money. This is pretty powerful. We would
      probably delegate this to individual chapters to decide. And even
      in case of a chapter, we would IMHO treat this carefully to avoid
      favouritism or abuse of the community. In this case, this could
      probably also have just been sent to the community list instead of
      to all. <br>
      I think an email to "all OWASP" should only be used for major and
      pure OWASP communication and not lightly. <br>
      <br>
      Please note, that I am not saying categorically "no", but I am
      feeling sensitive about how things have happened in this case and
      how our organisation might be perceived or misperceived here. <br>
      <br>
      Just my 2cents. <br>
      <br>
      Tobias<br>
      <br>
      <br>
      <br>
      On 07/05/15 22:36, Josh Sokol wrote:<br>
    </div>
    <blockquote cite="mid:CAFwvDewWWK2OXLWdz_C0G+eW6u2P5Umr5R_p1nse18t0-xtaSA@mail.gmail.com" type="cite">
      <div dir="ltr">
        <div>
          <div>
            <div>
              <div>
                <div>I tend to agree with Jim, albeit for slightly
                  different reasons and I'm not really sure it makes
                  sense to shut it down if we've already agreed to terms
                  on this.  I'm generally unconcerned about OWASP
                  putting out a CFT for training as we do it all the
                  time for conferences or other events like the one in
                  NYC not too long ago.  The method of sending it out to
                  all mailing lists was a bit unorthodox, but that's
                  beside the point.  My concern is around the "openness"
                  factor.  To me at least, having an open webinar does
                  not equate to having access to training material
                  content and a trainer.  The major difference is that
                  this is NOT an open training.  We are not reserving a
                  room someplace and putting out an open call for
                  trainers based on addressing a desire from the
                  community.  We have a private entity requesting a
                  private training and are then trying to make up for
                  that by having them offer a webinar as well.  It's not
                  the same thing.  Not by a long shot.  If a training
                  program like this were to succeed amongst the OWASP
                  values then it should go something like this:<br>
                  <br>
                </div>
                1) A set of training materials is donated to OWASP as
                part of a new project.  Those materials are open source
                and open to community contribution.<br>
                <br>
              </div>
              2) OWASP sets a date and location for a training, perhaps
              based on a need/request, and puts out a public call for a
              trainer to facilitate using the training materials in #1. 
              Any supplemental materials the trainer would like to
              include would need to be contributed to the project for
              use by future trainers.<br>
              <br>
            </div>
            <div>3) The selection of the trainer needs to happen via an
              impartial group of people using an unbiased methodology.<br>
            </div>
            <div><br>
            </div>
            4) A public sign-up is initiated to fill slots for the
            training.<br>
            <br>
          </div>
          This is ground that we need to tread very lightly as we run
          the risk of competing against the very companies that fund us,
          making us a security vendor as Jim pointed out, and putting us
          in the position where we can no longer claim to be
          vendor-neutral.  At conferences, trainers propose the content
          and then the planners select what they think the attendees
          would like to attend.  It scares me that we equate that to a
          private company selecting the topic, filling up all slots, and
          then selecting a trainer to teach the content.<br>
          <br>
        </div>
        ~josh<br>
      </div>
      <div class="gmail_extra"><br>
        <div class="gmail_quote">On Thu, May 7, 2015 at 3:10 PM, Jim
          Manico <span dir="ltr"><<a href="mailto:jim.manico@owasp.org" target="_blank">jim.manico@owasp.org</a>></span>
          wrote:<br>
          <blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
            <div dir="auto">
              <div>Paul,</div>
              <div><br>
              </div>
              <div>I would like to shut this down because it makes us a
                security vendor. We do not want to be that. We want to
                be an open source company where all of our materials and
                projects are free. To support our strategic goal I
                suggest we build free training materials for all to use.</div>
              <div><br>
              </div>
              <div>••• I admit I am biased because I am a professional
                trainer and will excuse myself from any vote on this or
                other training issues.<br>
                <br>
                Regards,<br>
                <div>--</div>
                <div>Jim Manico</div>
                <div>@Manicode</div>
                <div><a href="tel:%28808%29%20652-3805" value="+18086523805" target="_blank">(808) 652-3805</a></div>
              </div>
              <div>
                <div class="h5">
                  <div><br>
                    On May 7, 2015, at 1:04 PM, Paul Ritchie <<a href="mailto:paul.ritchie@owasp.org" target="_blank">paul.ritchie@owasp.org</a>>
                    wrote:<br>
                    <br>
                  </div>
                  <blockquote type="cite">
                    <div>
                      <div dir="ltr">
                        <div>To OWASP Board Group List:</div>
                        <div><br>
                        </div>
                        <div>I'm pleased to see a healthy discussion and
                          strong viewpoints about Training since this is
                          one of our continuing Strategic Goals for
                          2015.  Let me provide some 'first hand'
                          information about this CFT.</div>
                        <div><br>
                        </div>
                        <div>Specifically, this opportunity came from a
                          company who 'knows about OWASP' and knows and
                          respects our 'quality & style' of
                          training.</div>
                        <div><br>
                        </div>
                        <div>
                          <div style="font-size:12.8000001907349px">
                            <div>They wanted some PCI training for their
                              developers and their "end user service
                              reps" and they wanted OWASP to provide the
                              training, not one of the other commercial
                              entities.</div>
                            <div><br>
                            </div>
                            <div>As we evaluating this, we determined it
                              met several of our key goals and
                              objectives, so we decided to run it as a
                              pilot or trial to see how it worked out
                              for the Community and OWASP.  Does it meet
                              our Core valules?   <span style="font-size:12.8000001907349px">Open?
                                - check, Innovative? - check, Global? -
                                check, Done w/Integrity? - check.</span></div>
                            <div><br>
                            </div>
                            <div>1.  It meets the Training goal, and
                              more specifically it provides training to
                              ~125 Developers as well as ~1,000 customer
                              service reps.</div>
                            <div>2.  To keep opportunities 'open' we
                              decided to make a broad Call For Trainer,
                              like we do at our AppSec Conferences.</div>
                            <div>3.  To ensure the content was not
                              exclusive, we required the open webinar
                              training to be produced</div>
                            <div>4.  <span style="font-size:12.8000001907349px">We
                                are not providing any sort of
                                "certification" for the training - it is
                                knowledge sharing only.</span></div>
                            <div><span style="font-size:12.8000001907349px">5. 
                                We have 3 submissions already under the
                                CFT, and more than half a dozen
                                community members who volunteered to be
                                on the content review team.</span></div>
                            <div><span style="font-size:12.8000001907349px"><br>
                              </span></div>
                            <div><span style="font-size:12.8000001907349px">6. 
                                Background -- There has been discussion
                                for many years about leveraging a paid
                                training program that was modeled after
                                the successful conference style
                                training, as a possible revenue stream
                                for the Foundation.  Many leaders have
                                supported this in the past.  The
                                conference style model was attempted in
                                a couple of different places ( Denver
                                and NY) with mixed results.  This is a
                                sort of hybrid - on a small scale - to
                                see how it works.  </span><br>
                            </div>
                          </div>
                          <div style="font-size:12.8000001907349px"><br>
                          </div>
                          <div style="font-size:12.8000001907349px">Again,
                            I'm encouraged by all the healthy discussion
                            on Training, and I acknowledge the strong
                            opinions on this topic.  In summary, this
                            opportunity popped up, we were able to
                            structure it to meet our goals, objectives
                            & policies, so we are investing time
                            & resource to 'test' this new and
                            innovative approach.</div>
                        </div>
                        <div style="font-size:12.8000001907349px">You
                          are welcome to reach out to me or Kate with
                          questions.  Kate is closest to this program
                          and she can connect you with other leaders
                          working on this as needed.</div>
                        <br clear="all">
                        <div>
                          <div>
                            <div dir="ltr">
                              <div>
                                <div dir="ltr">
                                  <div>Best Regards, Paul Ritchie</div>
                                  <div>OWASP Executive Director</div>
                                  <div><a href="mailto:paul.ritchie@owasp.org" target="_blank">paul.ritchie@owasp.org</a></div>
                                  <div><br>
                                  </div>
                                </div>
                              </div>
                            </div>
                          </div>
                        </div>
                      </div>
                    </div>
                  </blockquote>
                </div>
              </div>
              <blockquote type="cite">
                <div><span>_______________________________________________</span><br>
                  <span>Owasp-board mailing list</span><br>
                  <span><a href="mailto:Owasp-board@lists.owasp.org" target="_blank">Owasp-board@lists.owasp.org</a></span><br>
                  <span><a href="https://lists.owasp.org/mailman/listinfo/owasp-board" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a></span><br>
                </div>
              </blockquote>
            </div>
            <br>
            _______________________________________________<br>
            Owasp-board mailing list<br>
            <a href="mailto:Owasp-board@lists.owasp.org">Owasp-board@lists.owasp.org</a><br>
            <a href="https://lists.owasp.org/mailman/listinfo/owasp-board" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a><br>
            <br>
          </blockquote>
        </div>
        <br>
      </div>
      <br>
      <fieldset class="mimeAttachmentHeader"></fieldset>
      <br>
      <pre>_______________________________________________
Owasp-board mailing list
<a class="moz-txt-link-abbreviated" href="mailto:Owasp-board@lists.owasp.org">Owasp-board@lists.owasp.org</a>
<a class="moz-txt-link-freetext" href="https://lists.owasp.org/mailman/listinfo/owasp-board">https://lists.owasp.org/mailman/listinfo/owasp-board</a>
</pre>
    </blockquote>
    <br>
  

</div></blockquote></body></html>