<div dir="ltr"><font face="arial, helvetica, sans-serif">Hi Micheal,</font><div><font face="arial, helvetica, sans-serif"><br></font></div><div><font face="arial, helvetica, sans-serif">Ok, Just a few quick thoughts:<br></font><div><font face="arial, helvetica, sans-serif"><br></font></div><div><font face="arial, helvetica, sans-serif">Without an overall strategic approach for relationships and relationship models, and without their legal frameworks reviewed and approved by legal advisors, this case by case basis may work for a while, but I can see potential conflicts with this approach longer term. If OWASP is currently receiving public funds for existing projects, especially, this may put OWASP in more of a "PPP - public private partnership" space, rather than purely "public charity" space, and, therefore, could be held to much higher legal standards. Something that I would want to review with legal advisors to assure appropriate frameworks with any external relationship models. </font></div><div><font face="arial, helvetica, sans-serif"><br></font></div><div><font face="arial, helvetica, sans-serif">I also think that Jim is right about partnering directly with commercial entities, especially since OWASP already has defined appropriate relationships with commercial entities through sponsorships, for example. Partnering on an event in a direct co-marketing relationship may be more appropriate as a media event partner basis, rather than co-producing / profit sharing, etc., events. As Jim also mentioned, another non profit or public private consortium may be better suited for implementing any co-production partnerships. Therefore, I tend to support media partners for events as opposed to co-production partnerships with events. Also, commercial entities might be better suited as an OWASP event sponsors, based on what I've read here in previous posts.</font></div></div><div><font face="arial, helvetica, sans-serif"><br></font></div><div><font face="arial, helvetica, sans-serif">However, I often go back to OWASP's Purpose Statement: "<span style="color:rgb(37,37,37);line-height:22.3999996185303px">Be the thriving global community that drives visibility and evolution in the safety and security of the world’s software." and also from OWASP's Values: "</span><b style="color:rgb(37,37,37);line-height:22.3999996185303px">INNOVATION</b><span style="color:rgb(37,37,37);line-height:22.3999996185303px"> OWASP encourages and supports innovation and experiments for solutions to software security challenges." </span><span style="color:rgb(37,37,37);line-height:22.3999996185303px">Therefore, If OWASP drives visibility and evolution, and encourages and supports innovation, perhaps there are broader and more flexible relationship innovations that OWASP could explore, for some of these relationships in the future, but this is a conversation that needs to happen so that the appropriate relationship models can be better defined, and approved by legal advisors, etc.</span></font></div><div><span style="color:rgb(37,37,37);line-height:22.3999996185303px"><font face="arial, helvetica, sans-serif"><br></font></span></div><div><font color="#252525" face="arial, helvetica, sans-serif"><span style="line-height:22.3999996185303px">Just my two cents for now. I'll put some more thought into these matters and may have more to say later. In the meantime, I believe that having these conversations is important, IMHO. Best wishes, Bev</span></font></div><div><br></div><div class="gmail_extra"><div class="gmail_quote">On Sun, May 31, 2015 at 5:56 PM, Michael Coates <span dir="ltr"><<a href="mailto:michael.coates@owasp.org" target="_blank">michael.coates@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto"><div>Bev,</div><div><br></div><div>Can you elaborate more on why we need to better define this? Is there a particular concern you're noticing?</div><div><br></div><div>In general the operations team evaluates partnership opportunities in a case by case basis and seems to be doing a great job. </div><div><br></div><div>I'm just looking to understand your view better. </div><div><br></div><div>Thanks!</div><div><div class="h5"><div><br><br></div><div><br>On May 31, 2015, at 2:50 PM, Bev Corwin <<a href="mailto:bev.corwin@owasp.org" target="_blank">bev.corwin@owasp.org</a>> wrote:<br><br></div><blockquote type="cite"><div><div dir="ltr">It sounds like OWASP needs to better define "appropriate" collaboration models for External Development and external relationships. is there an External Development Committee?<div><br></div><div>Bev</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Sun, May 31, 2015 at 5:38 PM, Michael Coates <span dir="ltr"><<a href="mailto:michael.coates@owasp.org" target="_blank">michael.coates@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto"><div>Oh, definitely not.  Not intending to minimize at all. I want us to be open to discussions about the various areas to determine if it provides value to Owasp. That's why I mention our mission doesn't preclude us from evaluating the situation. <br><br><br></div><div><div><div><br>On May 31, 2015, at 1:06 PM, Jim Manico <<a href="mailto:jim.manico@owasp.org" target="_blank">jim.manico@owasp.org</a>> wrote:<br><br></div><blockquote type="cite"><div><div>> <span style="background-color:rgba(255,255,255,0)">I wouldn't say that our mission circles around not endorsing commercial endeavors.</span></div><div><br></div><div>Fair wordsmithing, but it's still a critical aspect to our organization and is a critical factor in motivating our volunteer corps. I suggest you take it seriously and do not minimize it, Michael.<br><br><div>--</div><div>Jim Manico</div><div>@Manicode</div><div><a href="tel:%28808%29%20652-3805" value="+18086523805" target="_blank">(808) 652-3805</a></div></div><div><br>On May 31, 2015, at 12:40 PM, Michael Coates <<a href="mailto:michael.coates@owasp.org" target="_blank">michael.coates@owasp.org</a>> wrote:<br><br></div><blockquote type="cite"><div><div dir="ltr">A good item for discussion on the board call. I wouldn't say that our mission circles around not endorsing commercial endeavors. The two snippets below point at the primary goal of software security visibility and the second quote points about freedom from commercial pressure but also acknowledgement that inforaed use of commercial technology is fine.<div><br></div><div>My point is that from a mission perspective I don't believe we have to actively avoid a more commercial conference. Of course, it it provides no value then that's another thing.</div><div><br></div><div>Food for thought, good item to discuss on the board call.</div><div><br></div><div><br></div><div><div><div><br></div><div>"Our mission is to make software security visible, so that individuals and organizations worldwide can make informed decisions about true software security risks."</div><div><br></div><div>and</div><div><br></div><div><a href="https://www.owasp.org/index.php/About_The_Open_Web_Application_Security_Project" target="_blank">https://www.owasp.org/index.php/About_The_Open_Web_Application_Security_Project</a><br></div><div><br></div><div>"Our freedom from commercial pressures allows us to provide unbiased, practical, cost-effective information about application security. OWASP is not affiliated with any technology company, although we support the informed use of commercial security technology."<br></div><div><span style="color:rgb(37,37,37);font-family:sans-serif;font-size:14px;line-height:22.3999996185303px"><br></span></div><div><span style="color:rgb(37,37,37);font-family:sans-serif;font-size:14px;line-height:22.3999996185303px"><br></span></div></div></div></div><div class="gmail_extra"><br clear="all"><div><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><br>--<br>Michael Coates | <a href="https://twitter.com/intent/user?screen_name=_mwc" target="_blank">@_mwc</a><br></div><div>OWASP Global Board<br></div><div dir="ltr"><div>Join me at <a href="http://AppSecUSA.org" target="_blank">AppSecUSA</a> 2015 in San Francisco!</div><div><br></div><div><br><br></div></div></div></div></div></div></div></div></div></div>
<br><div class="gmail_quote">On Sun, May 31, 2015 at 10:43 AM, Jim Manico <span dir="ltr"><<a href="mailto:jim.manico@owasp.org" target="_blank">jim.manico@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto"><div>Part of our mission is not to endorse commercial endeavors. I feel that must be a part of the conversation with RSA or any OWASP partnership.</div><div><br></div><div>Thanks all,<br><div>--</div><div>Jim Manico</div><div>@Manicode</div><div><a href="tel:%28808%29%20652-3805" value="+18086523805" target="_blank">(808) 652-3805</a></div></div><div><div><div><br>On May 31, 2015, at 10:20 AM, Tobias <<a href="mailto:tobias.gondrom@owasp.org" target="_blank">tobias.gondrom@owasp.org</a>> wrote:<br><br></div><blockquote type="cite"><div>
  
    
  
  
    <div>Hi Matt, <br>
      <br>
      thanks for bringing this on the board list. <br>
      <br>
      I agree with Matt in that I see no problem at this point to have a
      conversation with RSA on potential cooperation. To my knowledge we
      have in the past not spend a lot of money on that, and I see no
      reason to change that. <br>
      <br>
      I also agree that we should prioritise our activities to maximise
      our outreach and strategic goals. <br>
      <br>
      Therefore, I would like to encourage reopening communication with
      RSA to explore opportunities that are of interest for OWASP to
      spread our mission. <br>
      <br>
      I suggest that we put this item for discussion and conclusion at
      our next board meeting on June-14. <br>
      <a href="https://owasp.org/index.php/June_14,_2015" target="_blank">https://owasp.org/index.php/June_14,_2015</a><br>
      <br>
      Best regards, Tobias<br>
      <br>
      <br>
      <br>
      On 28/05/15 16:00, Matt Konda wrote:<br>
    </div>
    <blockquote type="cite">
      <div dir="ltr">Hi.
        <div><br>
        </div>
        <div>Building on an interesting question Fabio raised around
          talking with the RSA conference organizing committee to
          explore potential collaboration, here are my thoughts: </div>
        <div>
          <ol>
            <li>I have no problem with having a conversation.</li>
            <li>I don't see RSA as strategically aligned with our
              objectives so I wouldn't necessarily be inclined to invest
              a lot of money or time.</li>
            <li>I would tend to favor targeting active efforts and
              investments toward developer conferences and cross
              pollination.</li>
            <li>Of course, RSA is a huge, vendor friendly conference so
              to the extent that we can achieve mutually beneficial
              results that advance our objectives (raise membership,
              increase involvement, etc.) without a very significant
              investment I would be open to it.</li>
          </ol>
          I just think we have to weigh the pros / cons of the setup and
          make sure we don't lose sight of our key goals.<br>
          <div><br>
          </div>
          <div>I hope this makes sense.</div>
          <div>Matt</div>
        </div>
        <div><br>
        </div>
      </div>
      <br>
      <fieldset></fieldset>
      <br>
      <pre>_______________________________________________
Owasp-board mailing list
<a href="mailto:Owasp-board@lists.owasp.org" target="_blank">Owasp-board@lists.owasp.org</a>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-board" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a>
</pre>
    </blockquote>
    <br>
  

</div></blockquote><blockquote type="cite"><div><span>_______________________________________________</span><br><span>Owasp-board mailing list</span><br><span><a href="mailto:Owasp-board@lists.owasp.org" target="_blank">Owasp-board@lists.owasp.org</a></span><br><span><a href="https://lists.owasp.org/mailman/listinfo/owasp-board" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a></span><br></div></blockquote></div></div></div><br>_______________________________________________<br>
Owasp-board mailing list<br>
<a href="mailto:Owasp-board@lists.owasp.org" target="_blank">Owasp-board@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-board" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a><br>
<br></blockquote></div><br></div>
</div></blockquote></div></blockquote></div></div></div><br>_______________________________________________<br>
Owasp-board mailing list<br>
<a href="mailto:Owasp-board@lists.owasp.org" target="_blank">Owasp-board@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-board" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a><br>
<br></blockquote></div><br></div>
</div></blockquote></div></div></div></blockquote></div><br></div></div>