<html>
  <head>
    <meta content="text/html; charset=windows-1252"
      http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    Summary: I think exploring co-marketing with O'Reilly (like we do
    with other conferences) is a reasonable idea. But I have a few
    concerns to consider.<br>
    <br>
    Details: <br>
    <br>
    1) Number one, we want to support everyone leveraging OWASP
    materials. As an author I've referenced a lot of OWASP material in
    my book. Key word : reference. O'Reilly should be doing the same and
    we could help them with that.<br>
    <br>
    2) Next and more importantly, I would love to see O'Reilly actively
    help OWASP with open source content and projects. That's - by far -
    most inline with the mission and has the maximum reach. Imagine if
    O'Reilly authors and OWASP volunteers worked on maintaining content
    together? That would be powerful. While this is not likely to
    happen, it's a strong note regarding where our philosophies go in
    different directions. We want content to be free, O'Reilly is a
    commercial publisher who believes the opposite.<br>
    <br>
    Matt, you mentioned about O'Reilly, "<i>As we are, they are
      passionate about the editorial and commercial independence of
      their content.</i>" which I think of as a bit dangerous and trying
    to frame them as open content which they are not. They are a closed
    publisher who has a different mission that we do (ie make profit).
    So please when working with these folks use our mission of
    "commercial freedom" and "vendor neutral (ie: invite other
    publishers") and be careful about giving these folks any special
    treatment. <i>Especially if they will not contribute open content
      to OWASP.</i><br>
    <br>
    3) Also, even though OWASP conferences are important to the
    foundation finances, when it comes to outreach they are <b>minor</b>
    compared to other resources. So conference partnerships - while
    interesting - influences few compared to other OWASP resources, so
    it's less interesting in terms of scale. I would like us to focus on
    how do we reach 20 million developers, not how can we reach a few
    thousand folks who can afford to attend conferences.<br>
    <br>
    *** Now with that in mind, I think explore co-marketing
    possibilities is a great idea - just like we do or have done with
    RSA, Blackhat and other conference circuits to help spread the OWASP
    word.<br>
    <br>
    Aloha,<br>
    Jim<br>
    <br>
    <br>
    <div class="moz-cite-prefix">On 3/18/16 11:35 PM, Matt Konda wrote:<br>
    </div>
    <blockquote
cite="mid:CACgRG4AhUDQNb4okD2X25DxBwZXCBf0O1YN_-QSiD8q2MtvoRQ@mail.gmail.com"
      type="cite">
      <div dir="ltr">Hi.
        <div><br>
        </div>
        <div>As you may know, O'Reilly announced this week that they are
          running a new Security conference.</div>
        <div><br>
        </div>
        <div>My initial take is that the emergence of a new security
          conference out of O'Reilly is "a good thing". I believe there
          is some risk but also some opportunity here since O'Reilly
          also hosts many key developer conferences and is a substantial
          communication platform with developers with their books and
          video training content.</div>
        <div><br>
        </div>
        <div>The approach I would generally recommend and advocate for
          would be a "make people look and feel good by association with
          OWASP" and basically try to help and collaborate in a purely
          altruistic way aligned with OWASP's mission. But I wanted to
          toss this by the broader board for input because there are
          obviously some risks and philosophical questions we want to be
          clear about if we do engage.</div>
        <div><br>
        </div>
        <div>I know some people at O'Reilly so I navigated and talked
          with O'Reilly's VP of Conferences Friday to explore what they
          are doing. The conference is definitely a general security
          conference not focused on AppSec - but it will likely include
          some AppSec content. They are <u>very</u> interested in
          co-marketing possibilities. They would be super interested in
          sponsors. Obviously, their business model is to make profit
          from the conference, book and other content that they
          license.</div>
        <div><br>
        </div>
        <div>Undoubtedly they are responding to market opportunity. One
          outcome would be to take this as a signal to run more AppSecs
          or really push more mid size regional events. That could mean
          hiring more staff to help. They are also expanding into Asia
          with local organizations on the ground to do that.</div>
        <div><br>
        </div>
        <div>As we are, they are passionate about the editorial and
          commercial independence of their content. Within that
          constraint, there may be opportunities to assist as a resource
          to their conference chairs looking to inject some security
          talks into their events. We already have a goal to get OWASP
          related content into their conferences such as Velocity,
          OSCON, Software Architecture, Strata etc. as a conscious and
          first class item. Maybe we could suggest invited speakers and
          topics and help with talk selection. Maybe we could even get
          our name on a track if we help their conference chairs?
          Definitely idealistic and open ended at this point, but maybe
          interesting? Probably depends a lot conference chair to
          conference chair. This would require a sustained and
          organized effort specifically for this by a group of OWASP
          volunteers.</div>
        <div><br>
        </div>
        <div>Just to be clear, I framed the discussion with O'Reilly as:
          I'm gathering information and looking at ideas, there are
          operational processes and a bigger decision making process
          behind me at OWASP that would have to happen for any of these
          things, I just wanted to understand where O'Reilly were coming
          from and what the possible collaboration paths might be.</div>
        <div><br>
        </div>
        <div>I think at the very least we should explore co-marketing
          possibilities - and as we do so, I would encourage us to value
          our brand and experience and also to think outside the box
          about what the most ambitious possibilities are for OWASP and
          make sure to push for deeper and meaningful commitments from
          them. There may be ways that we can support them that
          dramatically change our communication strategy with developers
          - let's talk about those.</div>
        <div><br>
        </div>
        <div>In any case, I think this raises some interesting
          possibilities and issues so I wanted to share the information
          I had gathered and give you all the opportunity to weigh in.<br>
        </div>
        <div><br>
        </div>
        <div>Best,</div>
        <div>Matt</div>
      </div>
      <br>
      <fieldset class="mimeAttachmentHeader"></fieldset>
      <br>
      <pre wrap="">_______________________________________________
Owasp-board mailing list
<a class="moz-txt-link-abbreviated" href="mailto:Owasp-board@lists.owasp.org">Owasp-board@lists.owasp.org</a>
<a class="moz-txt-link-freetext" href="https://lists.owasp.org/mailman/listinfo/owasp-board">https://lists.owasp.org/mailman/listinfo/owasp-board</a>
</pre>
    </blockquote>
    <br>
  </body>
</html>