<div dir="ltr"><div><div><div><div><div><div>Thanks Johanna, this is _really_ interesting.<br></div>And thats a huge imbalance between the chapters and projects.<br></div>Corporate members can obviously choose where their money goes, but maybe they are not aware they can choose projects (and if Eoin didnt know, that seems very likely!)<br></div>How can we make the corporation more aware of this option?<br></div>And how else can re redress this imbalance?<br><br></div>Cheers,<br><br></div>Simon<br><div><div><div><div><div><br></div></div></div></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Sep 7, 2015 at 1:14 PM, johanna curiel curiel <span dir="ltr"><<a href="mailto:johanna.curiel@owasp.org" target="_blank">johanna.curiel@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">In 2013 corporate membership represented 33% of total income for OWASP  opposed to individual membership which represented only 13% of the total income.<div><br></div><div>In 2015 corporate membership(foundation+chapter) has a total  revenue of USD350,000- opposed to USD90,000- from individual memberships(again foundation+chapter)  which is quite considerate:</div><div><a href="https://drive.google.com/file/d/0BxjNZI6rYJRKbnBlaHM3LTU2ckk/view?usp=sharing" target="_blank">OWASP Foundation Budget - 2015</a><br><div> </div><div><img src="cid:ii_14fa7b5983de95aa" alt="Inline image 1" style="margin-right:25px"><br></div><div><br></div><div>Basically all memberships are going to 'chapters'</div><div><br><div><i>If more than half of these donations(corporate membership) which I highlighted in green have not been specified for any purpose, then how does the foundation decided into which account goes that money? I would like an answer on this. What I miss here is a break down of the amount and into which budget are these being set.</i></div><div><i><br></i></div><div><i>It seems that those memberships are going mostly to chapters and some to some projects(highlighted in Yellow) (ZAP + SAMM)</i></div><div><br></div><div><a href="https://docs.google.com/spreadsheets/d/1nVyveCi7nmwYMKK4oWSsVGNvqE9aeUBhamQ7XsZvayU/edit?usp=sharing" style="font-size:13px" target="_blank">https://docs.google.com/spreadsheets/d/1nVyveCi7nmwYMKK4oWSsVGNvqE9aeUBhamQ7XsZvayU/edit?usp=sharing</a><br></div><div><br></div><div>Btw I cannot find the financial report of 2014, seems as it is quite behind (since we are almost end of 2015)</div></div><div><br></div><div><img src="cid:ii_14fa7a7a20674999" alt="Inline image 1" style="margin-right:0px"><br></div></div></div><div class="HOEnZb"><div class="h5"><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Sep 7, 2015 at 6:17 AM, Colin Watson <span dir="ltr"><<a href="mailto:colin.watson@owasp.org" target="_blank">colin.watson@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">One thing about membership donations to projects. Last week, the list<br>
of members was posted to the leaders list for the elections:<br>
<br>
   <a href="https://docs.google.com/spreadsheets/d/1Tu2MAdu1xNq8RTaqHWMSb_0qM_OE6aaVgKB54q_fQIs/edit#gid=1075228884" rel="noreferrer" target="_blank">https://docs.google.com/spreadsheets/d/1Tu2MAdu1xNq8RTaqHWMSb_0qM_OE6aaVgKB54q_fQIs/edit#gid=1075228884</a><br>
<br>
It shows that out of 2336 individual members only 2 have allocated<br>
their donation to project - in this case "mobile". I agree that at the<br>
point of joining that many people might select a chapter at that time,<br>
but I am wondering if this is actually accurate? It doesn't feel<br>
correct that less than 0.1% select a project.<br>
<br>
Last time I renewed, I changed my allocation from a chapter to a<br>
project. But the membership list still shows the allocation as a<br>
chapter, and the chosen project didn't receive any of my membership<br>
money.<br>
<br>
    <a href="https://docs.google.com/a/owasp.org/spreadsheets/d/11acTOmtmBGq6-5CIGsjlEByU8POSGqda0r23VNnhEGQ/pub?hl=en_US&hl=en_US&output=html#" rel="noreferrer" target="_blank">https://docs.google.com/a/owasp.org/spreadsheets/d/11acTOmtmBGq6-5CIGsjlEByU8POSGqda0r23VNnhEGQ/pub?hl=en_US&hl=en_US&output=html#</a><br>
<br>
Is this a fault, and which members and projects have been affected by<br>
this? I wonder if it applies to all project allocation selections, or<br>
only after a change is requested? Why are there so many "blanks" and<br>
"none" in the list of membership, and what's the difference? How long<br>
has it been occurring?<br>
<span><font color="#888888"><br>
Colin<br>
</font></span><div><div><br>
On 6 September 2015 at 21:47, Kevin W. Wall <<a href="mailto:kevin.w.wall@gmail.com" target="_blank">kevin.w.wall@gmail.com</a>> wrote:<br>
> Jumping in late to this thread. I already told Simon from day<br>
> one, when he first posted this on the Board and Governance list that<br>
> I agreed with him 100%, but I just wanted to add some things.<br>
><br>
> On Thu, Sep 3, 2015 at 4:50 AM, psiinon <<a href="mailto:psiinon@gmail.com" target="_blank">psiinon@gmail.com</a>> wrote:<br>
>> Didnt realise this thread wasnt on the leaders list ;)<br>
>> So starting a new one here as I think its important for us to discuss.<br>
>> For background see:<br>
>> <a href="http://lists.owasp.org/pipermail/governance/2015-September/000697.html" rel="noreferrer" target="_blank">http://lists.owasp.org/pipermail/governance/2015-September/000697.html</a><br>
>> This is a copy of the email I sent to that thread..<br>
>><br>
>><br>
>> First of all I'd like to thank Johanna for all the effort she's put into<br>
>> reviewing the projects.<br>
>> Its been a huge and mostly thankless task, and the projects as a whole have<br>
>> really benefited.<br>
><br>
> Amen to that. And having been involved in one of the projects (ESAPI)<br>
> that was demoted from Flagship to Lab status, I know it's not always<br>
> an easy thing to receive the assessments that she and her team had<br>
> been doing, but we need to be professional about this and not shoot<br>
> the messenger. Certainly when it came to ESAPI, while I was<br>
> disappointed, I pretty much agreed with the project review<br>
> conclusions.<br>
><br>
>> Secondly, I'd like to wade into the Projects Vs Chapters debate :)<br>
>><br>
>> I have a theory:<br>
>><br>
>> People who are 'part' of OWASP tend to think that the Chapters are more<br>
>> important _to_them_ than the projects.<br>
>> Chapters are where we meet people, exchange ideas and learn things. They are<br>
>> social events.<br>
><br>
> The exception might be for those of us who attend our local OWASP<br>
> chapter meetings but who are also actively involved with one or more<br>
> OWASP projects.<br>
><br>
>> People outside OWASP think that the Projects are more important _to_them_<br>
>> than the Chapters.<br>
>> They dont go to chapter meetings, they might not even be aware of them.<br>
>> They use, or at least are aware of, the main OWASP projects, mostly the<br>
>> Flagship ones.<br>
>><br>
>> Anyone agree or disagree?<br>
><br>
> I think you're analysis is pretty much spot on with few exceptions<br>
> like the edge case I mentioned above.<br>
><br>
>> And yes, I'm conveniently ignoring conferences, the wiki etc etc ;)<br>
>><br>
>> I think Chapters and Projects are fundamentally different 'beasts', and I've<br>
>> started and run both :)<br>
>><br>
>> Chapters are relatively easy to start and maintain.<br>
>> You need to be based in a city with a thriving security and/or software<br>
>> industry.<br>
>> You need to spend time organising and publicising events, but its not hard -<br>
>> you dont need specialized skills.<br>
>> Its relatively easy to find people prepared to speak, arrange rooms and help<br>
>> with other organisational things.<br>
>> Its something you can do in your spare time.<br>
><br>
> One thing I'll add here. The fact that people can use their time spent<br>
> attending OWASP chapter meetings as CPEs toward some security<br>
> certification is also a big draw I think. In the past, we've even<br>
> attracted quite a few non-OWASP members because of this, or at least<br>
> that appeared to be their primary motivation as some of them would ask<br>
> about for our chapter leads to provide evidence of attendance for<br>
> their CPEs and we'd then discover that some of them were not OWASP<br>
> members (not that we made a big deal about that).<br>
><br>
> While it's true that one can earn CPEs working on a projects, the<br>
> evidence bar seems to be a bit higher and a lot harder to measure.<br>
><br>
>> Projects are much harder.<br>
>> They are relatively easy to start - you 'just' need a good idea.<br>
>> They are _really_ hard to bring to fruition and maintain.<br>
>> I'll focus on software projects (as I know much more about those) but I have<br>
>> no doubt documentation projects can be just as difficult.<br>
>> A professional software project is the result of the hard work of managers,<br>
>> designers, developers, QA, support, technical authors, sales and marketing<br>
>> (and probably others I've forgotten;).<br>
>> Its a huge amount of effort, and is ongoing - it only lets up when you<br>
>> 'sunset' the project.<br>
>> Ok, so (non commercial) open source projects dont need sales staff, but they<br>
>> do need people doing all of the other roles. Its definitely _not_ just<br>
>> programming!<br>
><br>
> If anything, usually people are not that keen on doing those other<br>
> needed roles, such as project documentation, QA, buildmeister, etc.<br>
><br>
> Also, the more successful a project becomes (i.e., as measured in<br>
> terms of the number of users) the harder it is to maintain. For<br>
> example, long ago, I've noticed that people see to ask more questions<br>
> on Stack Exchange about ESAPI than the do on either the ESAPI-Users or<br>
> ESAPI-Dev mailing lists. I suspect that there are other forums<br>
> elsewhere that these things get discussed.<br>
><br>
>> Its way too much for one person (for a non trivial project).<br>
>> Luckily we have the open source community, but that means a project leader<br>
>> needs another skill: community building!<br>
><br>
> Indeed that's one where I feel that I've failed miserably. I'm not<br>
> particularly a people person nor do I have a lot of contacts beyond<br>
> the immediate colleagues that I work with, so when the current<br>
> volunteer pool dries up and stops contributing, the project tends to<br>
> die because of (at least in my case) the inability to find new<br>
> volunteers to help carry the project forward.<br>
><br>
>> And to be honest most volunteers are developers (and security people for<br>
>> OWASP projects), its very rare for people with other skills to get involved.<br>
><br>
> 100% agree. Also, I personally think that we do a disservice<br>
> sometimes in our industry in that there's an unspoken perception of a<br>
> pecking order within the security community so that some of these very<br>
> important roles are greatly devalued (e.g., those who write<br>
> documentation or manage releases or do QA testing or provide project<br>
> management or other infrastructure support). And while we generally<br>
> don't come right out and express it, I think it's there and those who<br>
> might otherwise step up and fill those roles avoid the security<br>
> community for some other FOSS projects because they feel under-appreciated.<br>
><br>
>> I dont think its something you can do in your spare time, at least for long<br>
>> (I did for a while, and my wife described herself as a "ZAP widow";)<br>
><br>
> :D<br>
><br>
>> So Chapters are relatively easy to maintain, projects _much_ harder.<br>
><br>
> Making free pizza and beer available at chapter meetings doesn't hurt!  :)<br>
><br>
> We've also tried holding mini-hackathons at our local OWASP meetings<br>
> maybe once a year. It was interesting, but I can't say it was a<br>
> resounding success, because many there did not know the programming<br>
> language the project was written in and it took us an undue amount of<br>
> time just to get to the point where people got their IDE of choice<br>
> configured to pull the project from GitHub. Also probably about 1/2<br>
> of the regular attenders don't really program to any great extent at<br>
> all but rather consider themselves more of pen testers, so holding<br>
> these mini-hackathons effectively leaves out almost half of our<br>
> regular attendees so that's not going to be something that works as a<br>
> long term strategy.<br>
><br>
>> I suspect OWASP as an organisation supports Chapters more effectively, but<br>
>> even if it supports both equally Projects dont get as much support as they<br>
>> need.<br>
>> I think OWASP Chapters are thriving and the Projects are (as a whole)<br>
>> diminishing.<br>
>> If I'm right and people outside OWASP see the Projects as more important<br>
>> than the Chapters then this leads to the impression that OWASP is<br>
>> struggling.<br>
>><br>
>> What to projects need?<br>
>> I dont think its possible to maintain a 'significant' open source project<br>
>> unless you are able to spend the majority of your working day on it.<br>
>> This means projects really have to be sponsored by someone.<br>
>> This is a significant investment for a company, and its often difficult to<br>
>> justify this sort of investment. Especially if its difficult to monetise<br>
>> OWASP projects.<br>
><br>
> Indeed, back in the day when I was still on an AppSec team for a<br>
> previous company, I tried to convince my management to allocate about<br>
> eight hours a week from our entire team to contribute to ESAPI bug<br>
> fixing. It seemed a logical extension of our internal proprietary<br>
> security components class library which was not nearly as complete.<br>
> I was unable to convince my management and shortly afterwards, I<br>
> left that team (for unrelated reasons) and starting working with a<br>
> team that had security experience that wouldn't easily translate to<br>
> ESAPI needs.  In fact, my experience was worse than that. None of my<br>
> colleagues ever decided to help out individually either. Not a big<br>
> deal; maybe it just wasn't their cup of tea or they had other<br>
> passions that they wanted to contribute to. But gathering recruits<br>
> willing to participate clearly takes skills and contacts that I<br>
> apparently do not possess in sufficient quantities. (Sometimes I<br>
> feel like I'm trying to sell screen doors for submarines. Sigh.)<br>
><br>
> All I'm saying is that getting volunteers is hard. Each sizeable<br>
> project really needs someone willing to fulfill the project<br>
> evangelist role to keep looking for new contributors. For one<br>
> reason (at least it's been my experience) is that KEEPING volunteers<br>
> for extended periods is even harder and by and large, I think if<br>
> we looked at the historical data of contributors across all OWASP<br>
> projects (say, based on commit history), that the data would bear<br>
> that out. In fact, I'd bet this phenomena goes well beyond OWASP and<br>
> is experienced by many FOSS projects.<br>
><br>
>> Does OWASP want to sponsor projects directly?<br>
>> I think thats what it would take to build a thriving set of Projects.<br>
>> Is that something that could be done?<br>
><br>
> _COULD_ it be done? Yes. Should it be done is another matter.<br>
> I'd rather not see it become necessary as I really don't want OWASP<br>
> to turn into a political organization where the project leaders are<br>
> forced to lobby for funding, and I fear that's what would happen. I<br>
> think also it would stifle innovation because new incubator projects<br>
> would likely all dry up (unless a certain amount of funds were<br>
> pre-allocated to them) as they likely couldn't compete against more<br>
> established projects.<br>
><br>
> I had thought of proposing allowing individual OWASP projects to<br>
> somehow sell their own project-related schwag at conferences and such<br>
> and keep a percentage of the profits to use for their projects so that<br>
> they could then use that money however they saw fit (e.g., hiring a<br>
> technical writer to write project documentation for instance). But that<br>
> probably would not make a major impact in funding to a project,<br>
> especially if all the OWASP projects started doing it.<br>
><br>
>> I'm lucky, Mozilla allows me to spend most of my time working on ZAP, and<br>
>> thats been invaluable.<br>
><br>
> I suppose that starts with a company that has a culture of strongly<br>
> contributing to FOSS. Most of us do not work for such companies. Most<br>
> work for companies who extensively rely on such software, but rarely<br>
> allow their companies to contribute to such things on company time<br>
> because they don't really see it as contributing directly to their<br>
> bottom line. (NOTE: I want to make clear that this is strictly my<br>
> personal opinion based of a [likely] biased observation and in no<br>
> way represents the official position of either my current nor any<br>
> of my previous employers. And they didn't even make me say that! :)<br>
><br>
>> But I'd love to be able to employ some of the ZAP contributors to work full<br>
>> time on ZAP :)<br>
>> Would OWASP pay for that??<br>
><br>
> Great question and I think you're not the only project that might<br>
> benefit from that. Although, if that means lobbying for funds by<br>
> competing against other OWASP projects, them I'm out because I<br>
> just don't have the stomach for that. It gets bad enough competing<br>
> for resources at Google Summer of Code and various OWASP code sprints,<br>
> and I fear if we increased OWASP funding to amounts needed to sustain<br>
> OWASP projects, it could lead to divisions in OWASP as people aligned<br>
> themselves with one project or another.<br>
><br>
>> It would require much more 'project management' - the kind of things that<br>
>> people _think_ OWASP is doing, but it doesnt.<br>
>> I often see posts from people asking "why the hell is OWASP developing X".<br>
>> They seem to think that theres an OWASP committee that meets and goes "We<br>
>> think we should have project X". Whereas its actually an individual coming<br>
>> to OWASP and saying "I'm doing X, could this be an OWASP project?".<br>
>> OWASP Projects are very much 'bottom up' rather than 'top down'.<br>
><br>
> Well, their perception could also be more of a notion of "why aren't<br>
> they doing Y instead?" or even "wouldn't make more sense if it were<br>
> a {Apache,Spring,<insert-your-favorite-FOSS-brand-here>} project<br>
> instead?" And truth be told, I've also asked that question myself, but<br>
> more because it was like "OWASP already has a project Z that does<br>
> almost exactly what project X is proposing. Why don't they just join<br>
> project Z instead of spinning of a similar project?".<br>
><br>
> I think any of those, as well as your conjecture, are possible reasons<br>
> for them asking that question.<br>
><br>
>> It may surprise people outside of OWASP that I get _no_ direction at all<br>
>> from OWASP as to how ZAP should move forward.<br>
>> note that I'm _really_ not complaining about that ;)<br>
><br>
> Hmmm...well, THAT would explain some things!<br>
><br>
> JK. ;-)<br>
><br>
>> OWASP does not really invest in projects. It does provide some support, but<br>
>> to be honest not a great deal.<br>
>> If we decided to invest significant amounts of money in projects then there<br>
>> would need to be real debate as to what we should invest in.<br>
>> And I realise that thats difficult, particularly as OWASP is supported by<br>
>> commercial organisations, and they wont want OWASP investing in projects<br>
>> that compete with their own offerings.<br>
>><br>
>> There are other things that OWASP could do other than paying developers<br>
>> directly.<br>
>> We could spend much more effort encouraging companies to contribute to OWASP<br>
>> projects, especially by donating engineering effort.<br>
>> We could help projects with the 'non programming' aspects - documentation,<br>
>> testing, marketing etc.<br>
>> We could provide more advice and guidance - I dont want people to dictate<br>
>> where ZAP should be headed, but I'd love constructive feedback :)<br>
><br>
> Well, being a project lead of a much less successful project, I've<br>
> thought long and hard about the obstacles that I've faced.<br>
><br>
> Most of that has been around getting people to help with the following<br>
> types of things:<br>
>     * Project documentation, most notably overall user manuals and FAQs<br>
>       and wiki entries.<br>
>     * Help with maven / pom.xml issue and release management in general<br>
>     * Assistance with version control, most notably git and GitHub<br>
>     * Someone willing to be a sounding board for proposed design changes<br>
><br>
> As I've reflected about it, one of the things that I've noted is that<br>
> many of these are specialities that are cross-cutting across many<br>
> OWASP projects.<br>
><br>
> I think one way that we might be able to address these some of these<br>
> concerns is to create a Subject Matter Expert list of people who would<br>
> be willing to volunteer to help out projects by contributing a few<br>
> hours here or there. For starters, I am than willing to put my name<br>
> into the hat an be willing to contribute as an applied cryptography<br>
> SME for any projects that have crypto related questions or maybe need<br>
> some crypto code reviewed by a fresh pair of eyes (at least as long as<br>
> it's written in a programming language I've familiar with). Of course,<br>
> the irony of it is that likely would require a new OWASP project to<br>
> maintain that OWASP SME list. (Not it! :)<br>
><br>
>> Ok, thats ended up being a pretty rambling email ;)<br>
><br>
> Trust me, I've written more than my share!<br>
><br>
>> I'll end there and see what responses I get :D<br>
><br>
> Here's one. Thanks for listening OWASP!<br>
><br>
> -kevin<br>
> --<br>
> Blog: <a href="http://off-the-wall-security.blogspot.com/" rel="noreferrer" target="_blank">http://off-the-wall-security.blogspot.com/</a><br>
> NSA: All your crypto bit are belong to us.<br>
> _______________________________________________<br>
> OWASP-Leaders mailing list<br>
> <a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
> <a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
</div></div></blockquote></div><br></div>
</div></div><br>_______________________________________________<br>
Owasp-board mailing list<br>
<a href="mailto:Owasp-board@lists.owasp.org">Owasp-board@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-board" rel="noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a><br>
<br></blockquote></div><br><br clear="all"><br>-- <br><div class="gmail_signature"><a href="https://www.owasp.org/index.php/ZAP" target="_blank">OWASP ZAP</a> Project leader<br></div>
</div>