<div dir="ltr">>><span style="font-size:13px">I trust those involved will make a good decision here. </span><div><br></div><div>>><span style="font-size:13px">First, the current proposal <u>does not include the triage, reproduction, and remediation piece</u> (the Bugcrowd one does).  After speaking with them about this, they explained that it is because there is additional costs involved with that because they partner with other companies to provide that service.  That said, they offered to talk to one of their partners and had a strong belief that they could offer this to us as well.</span><br><div><span style="font-size:13px"><br></span></div><div><span style="font-size:13px">Hi Jim.</span></div><div><span style="font-size:13px"><br></span></div><div>I'm all in favour of vendor neutrality at all times.I admire your pro-activeness in these matters, however, at this point, I'm out of this equation regarding any decisions of a bounty program and management of it in the future.</div><div><br></div><div>One of the major problems we have, is to create sustainable initiatives. I'm a volunteer with limited time. My availability will vary a lot and this is common for volunteers.</div><div><br></div><div>I think is important that we ask ourselves who will be accountable for the system we bring in and able to manage this continuously. Volunteer based, I'm not convinced. </div><div><br></div><div>Wiki and Reviews have shown that volunteer based does not work. Therefore, I prefer to abstain to participate on this bounty initiative because my workload has multiplied by the dozen, and as a volunteer, I cannot provide any guarantees of my availability in the future.</div><div><br></div><div>This counts for the review process. This is the reason why we,  Enrico and I, proposed to decentralise and focus on a platform. Even so, this platform is highly dependable on volunteers. So far, only 6 members have voted for Graduation of the OWASP security project.We lack participation. I feel like no one cares. Or people just don't want to participate in this kind of thing.I have no freaking idea.</div><div><br></div><div>So far, there has not been any reviewers that have worked on reviews since we restarted this initiative.Even before, when Claudia start offering amazon cards in exchange for reviews, only 2 persons participated for 2 reviews one different projects. We keep on looking, I believe Claudia has contact them, but in the end, nothing.</div><div><br></div><div> I took many hours to build that criteria and let people comment and collaborate, so we make this process easier. There has been some participation , but from very few. We provide the community with all the opportunities to participate but still, there is a lack of interested in this subject.</div><div><br></div><div>I spoke with Jason Li, and even on an interview you did to him in 2008, he had the same idea of providing a platform for participation, but people don't want to volunteer to for these kind of tasks, just as happens with the wiki.</div><div><br></div><div>Furthermore, you end as a solo-player, nobody gives you thanks, when all you are trying to do is help, burning your free time chasing waterfalls.(Thats counts for you with the wiki editing of +8000 pages, I guess all you hear is criticism just as I do, and people just tends to forget we are not OWASP staff, we are volunteers)</div><div><br></div><div>I think is time that, from the operational management point of view, to revise all these actions and have a very serious talk about this.</div><div><ul><li>Are they sustainable only volunteer based?<br></li><li>What has the experience shown?<br></li><li>Why does owasp lack volunteers to help on these tasks?<br></li><li>Is the workload to big to expect volunteers to do this?</li><li>Is this a community that has not time to do this kind of work?</li><li>Do they actually want to do these kind of tasks?</li></ul></div><div>Volunteers are volunteers, they are not workforce nor can you expect the same output.You cannot expect anything from them.</div><div><br></div><div>A volunteer must feel he gains something back for giving his time. If there is no exchange on this part, if he does not feel valued or that his work matters,  or enjoys what he does, then , I think , volunteer work stops. For me , it must have a meaning, that what I do , matters.</div><div><br></div><div>Whatever the reason , the effect is, volunteered based initiatives as wiki, reviews and possibly Bounty program, does not seem to work. </div><div><br></div><div>We should evaluate this before we keep bringing systems that cannot be volunteered-based sustained.</div><div><br></div><div>Cheers</div><div><br></div><div>Johanna</div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Sat, Feb 20, 2016 at 12:17 AM, Jim Manico <span dir="ltr"><<a href="mailto:jim.manico@owasp.org" target="_blank">jim.manico@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
  
    
  
  <div bgcolor="#FFFFFF" text="#000000">
    Josh,<br>
    <br>
    I am grateful you took the time to hear other bounty vendors out,
    especially since I forced your hand to do so to some degree.<br>
    <br>
    I trust those involved will make a good decision here. <br>
    <br>
    I do not have a charge over this and do not want to interfere, but
    if you want my assistance just ask.<br>
    <br>
    Aloha,<br>
    Jim<div><div class="h5"><br>
    <br>
    <br>
    <div>On 2/19/16 4:07 PM, Josh Sokol wrote:<br>
    </div>
    <blockquote type="cite">
      <div dir="ltr">
        <div>
          <div>
            <div>
              <div>
                <div>
                  <div>
                    <div>I went ahead and spoke with HackerOne this
                      afternoon even though others were unable to make
                      it.  I'm going to be mostly out-of-pocket over the
                      next couple of weeks, but at least wanted to be
                      informed.  I took some notes, included below, but
                      had a couple of things that are worth mentioning
                      here.  First, the current proposal does not
                      include the triage, reproduction, and remediation
                      piece (the Bugcrowd one does).  After speaking
                      with them about this, they explained that it is
                      because there is additional costs involved with
                      that because they partner with other companies to
                      provide that service.  That said, they offered to
                      talk to one of their partners and had a strong
                      belief that they could offer this to us as well. 
                      With that, I think that what they are offering is
                      pretty much equivalent to what Bugcrowd is
                      offering.  That said, the ask is **VERY**
                      different.  While Bugcrowd is looking for an OWASP
                      Platinum sponsorship package in exchange for their
                      services, HackerOne is literally asking for
                      nothing.  They said that they are big supporters
                      of the OWASP Foundation and what we stand for and
                      want to do this to help us out.  I was not
                      expecting this, but am extremely happy with what I
                      heard from them.  We haven't talked to Cobalt yet,
                      but my gut at this point is that HackerOne would
                      make for a great partner on this and I would
                      recommend, if we were to accept their offer,
                      providing them with a logo placement on the
                      supporter page (as a minimum) as a token of our
                      appreciation.  <br>
                      <br>
                    </div>
                    <div>So, I realize that we still have one more
                      vendor to talk to, but HackerOne looks really
                      good.  With Johanna out-of-pocket for the
                      foreseeable future, I wanted to make a
                      recommendation to pull Simon Bennetts (if he is
                      willing) into this evaluation process.  I think
                      that a bug bounty program would be of huge benefit
                      to his efforts, and would like to get his
                      impression of the value of such a tool for his
                      project.  Simon, would you be willing to hop on a
                      call with the HackerOne folks to take a look at
                      their platform?  Or, if you'd prefer, we have
                      access to the platform already and can get you an
                      account to poke around with on your own.  <br>
                      <br>
                    </div>
                    <div>In any case, notes are below.  Have a great
                      weekend!<br>
                      <br>
                    </div>
                    <div>~josh<br>
                    </div>
                    <div><br>
                      <u><b>Your Platform:</b></u><br>
                    </div>
                    <ul>
                      <li>Workflow & Automation: Focused on
                        engineering the world's most advanced
                        vulnerability coordination platform.<br>
                      </li>
                      <li>Signal: Numerous systems, such as Reputation
                        and hackbot, dedicated to ensuring high signal
                        programs.<br>
                      </li>
                      <li>Transparent: All hackers have a profile,
                        history and reputation.  Advanced public
                        disclosure workflow when needed.<br>
                      </li>
                    </ul>
                  </div>
                </div>
                <br>
              </div>
              <u><b>You are in Control:</b></u><br>
            </div>
            <ul>
              <li>Flexible: Run private or public programs, with or
                without bounties, managed or unmanaged.<br>
              </li>
              <li>Ownership: You own your data.  HackerOne makes no
                claims on Vulnerability Information.<br>
              </li>
              <li>Multiparty Coordination: Easily pull in other vendors
                or external parties into a case.</li>
            </ul>
            <p><u><b>Service Donation:</b></u></p>
            <ul>
              <li>Waive bounty service fees</li>
              <li>Donate HackerOne Enterprise and a dedicated success
                manager for min 2 years.</li>
            </ul>
            <p>FREE Program</p>
            <ul>
              <li>Security@ Workflow</li>
              <li>Hacker Reputation</li>
              <li>Intelligent Duplication Detection</li>
              <li>Automation</li>
              <li>Issue Tracker Integration</li>
              <li>Analytics Dashboard</li>
            </ul>
            <p>PROFESSIONAL Program ($2k/mo)</p>
            <ul>
              <li>Everything in Free</li>
              <li>Advanced Hacker Matching</li>
              <li>Performance Benchmarking</li>
              <li>Launch & Optimization Guidance</li>
              <li>Report Mediation</li>
              <li>Reports API</li>
            </ul>
            <p>ENTERPRISE Program:</p>
            <ul>
              <li>Everything in Professional<br>
              </li>
              <li>Dedicated Success Manager</li>
              <li>Custom Analytics & Reporting</li>
              <li>Custom Integrations</li>
              <li>Custom Branding Theme</li>
              <li>Communications Guidance</li>
            </ul>
            <p>ADD ON: Bug Bounty Global Payments (Included in our deal)<br>
            </p>
            <p>ADD ON: HackerOne Managed - Triage, Reproduction &
              Remediation Guidance (Not included today in the proposal. 
              Implemented by partners.  Need to negotiate this.)<br>
            </p>
            <ul>
              <li>Would propose to have a separate instance for each
                project + OWASP Foundation resources</li>
              <li>Do not want anything in return.  Support the OWASP
                Foundation and what we are doing.</li>
              <li>Have a built in leaderboard sortable by timeframe</li>
              <li>Ranks hackers based on "signal" and "impact"</li>
              <li>Have an integration with Salesforce ticketing</li>
              <li>Support a wide range of common disclosure scenarios
                such as "public disclosure".  By default they are
                confidential.<br>
              </li>
            </ul>
          </div>
        </div>
      </div>
    </blockquote>
    <br>
  </div></div></div>

</blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr"><div>Johanna Curiel </div>OWASP Volunteer</div></div>
</div></div>