<div dir="ltr"><div><div>Tom,<br><br></div>That page has already caused us a few headaches when it got put up without a process behind it (see the person I added to the Wall of Fame).  On a positive note, Dhiraj subsequently volunteered to to help us with this project.  I realize that it's exciting and we all want to get stuff done, but please, let's hold the horses for a little bit so that we can determine the scope, get a process in place, and move things forward in an effective manner.  Thank you!<br><br></div>~josh<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Apr 8, 2016 at 5:46 PM, Tom Brennan <span dir="ltr"><<a href="mailto:tomb@proactiverisk.com" target="_blank">tomb@proactiverisk.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Excellent lefts update his then and push it live<div><br></div><div><span></span><a href="https://www.owasp.org/index.php/About_OWASP/Bug_Bounty" target="_blank">https://www.owasp.org/index.php/About_OWASP/Bug_Bounty</a></div><div><div class="h5"><div><br><br>On Friday, April 8, 2016, Matt Konda <<a href="mailto:matt.konda@owasp.org" target="_blank">matt.konda@owasp.org</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto"><div>Great work Josh and team.<br><br>Matt Konda<div>@mkonda</div></div><div><br>On Apr 8, 2016, at 5:24 PM, Josh Sokol <<a>josh.sokol@owasp.org</a>> wrote:<br><br></div><blockquote type="cite"><div><div dir="ltr"><div><div><div>Board,<br><br></div>We had three companies submit proposals for the OWASP Bug Bounty Program.  Selecting one of them was a very difficult decision.  With the proposals themselves being fairly equal, we placed much of our emphasis in making the decision on the functional aspects of the platforms.  Johanna created an excellent matrix of desired functionality which we were able to use to narrow down to the one we selected.  Even that was a difficult decision, but we have officially given the nod to the company who handles the triage and validation of vulnerabilities internally (as opposed to outsourced) as we felt that having an internal team looking after us would provide the most value.  We are still firming up the contractual pieces, but I feel confident in announcing to you that we have officially selected BugCrowd as OWASP's new Bug Bounty platform.<br><br></div>The BugCrowd team is very excited about the prospects of working more closely with us and has already reached out to Johanna about onboarding a couple of projects that she was interested in handling bug bounties for.  I am out on vacation next week, but my next steps here will be to work with the staff as well as some members of the team and community in order to scope out and define what a formal bug bounty program will look like for the OWASP Foundation and it's assets.  I am unable to attend this month's Board meeting, so please consider this my official update on the progress and I will hopefully have and update on our progression for the May meeting.  Thank you!<br><br></div>~josh<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Apr 7, 2016 at 3:48 PM, Bil Corry <span dir="ltr"><<a>bil.corry@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div>Sounds great, thank you for the information.</div><span><font color="#888888"><div><br></div><div><br></div><div>- Bil</div></font></span></div><div><div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Apr 7, 2016 at 9:59 PM, johanna curiel curiel <span dir="ltr"><<a>johanna.curiel@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><span style="font-size:13px"><br></span></div><span style="font-size:13px">.>Apologies, I probably miss it, but is OWASP paying bounties?  Or just providing recognition?  And what's the scope for the program?</span><div><br></div><div>Hi Bill, </div><div><br></div><div>Clarifications on your questions:<br><div><span style="font-size:13px"><br></span></div><div>No, OWASP will not be paying bounties but purely recognition, sure in this first phase once it is announced which Bounty management company we have selected</div><span><div><br></div><div><span style="font-size:13px"> >>And what's the scope for the program?</span><br></div><div><span style="font-size:13px"><br></span></div></span><div>Right now the part I'll be supporting , some security libraries will participate in the program, to start with </div><div><ul><li>CRSFGuard <br></li><li>OWASP SeraphimDroid<br></li></ul><div>Other projects leaders could manage a program directly within the interface, like ZAP.</div></div><div><br></div><div>The management of vulnerabilities will be totally in charge of the Bounty service provider and only those confirmed bugs we need to finalise verifying</div><div><br></div><div>The idea is also to have a Bounty program for OWASP wiki and mailman, this is lead by Frank Catucci and other OWASP volunteers that offered their support:</div><div><a style="font-size:13px" href="https://www.owasp.org/index.php/Help_Secure_Owasp_assests" target="_blank">https://www.owasp.org/index.php/Help_Secure_Owasp_assests</a><br></div><div><br></div><div>Cheers</div><div><br></div><div>Johanna</div><div><br></div></div></div><div class="gmail_extra"><div><div><br><div class="gmail_quote">On Thu, Apr 7, 2016 at 3:46 PM, Bil Corry <span dir="ltr"><<a>bil.corry@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid"><div dir="ltr"><div>Apologies, I probably miss it, but is OWASP paying bounties?  Or just providing recognition?  And what's the scope for the program?</div><span><font color="#888888"><div><br></div><div><br></div><div>- Bil</div></font></span></div><div><div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Apr 6, 2016 at 10:53 PM, Jim Manico <span dir="ltr"><<a>jim.manico@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid">
  
    
  
  <div text="#000000" bgcolor="#FFFFFF">
    All good Josh, thank you for this. I support the process.<br>
    <br>
    Aloha,<br>
    Jim<div><div><br>
    <br>
    <div>On 4/6/16 10:12 AM, Josh Sokol wrote:<br>
    </div>
    </div></div><blockquote type="cite"><div><div>
      <div dir="ltr">
        <div>
          <div>OWASP Board,<br>
            <br>
          </div>
          The OWASP Bug Bounty initiative team, consisting of Kelly,
          Claudia, Johanna, Frank, Simon, and myself, have performed
          both a technical and contractual analysis of three bug bounty
          vendors.  We have come to a consensus on the vendor that we
          feel will provide us with the most capabilities and will be
          the best fit for the OWASP Foundation.  Before we notify the
          vendors and make an announcement of our selected vendor, I
          wanted to ask if any of you had any reservations with respect
          to the team's ability to conduct an impartial evaluation and
          select a vendor to move forward with?  If there are any
          concerns, I want to make sure that they are addressed now,
          before an announcement has been made.  If not, then you can
          expect an announcement in the next few days.  Thank you.<br>
          <br>
        </div>
        ~josh<br>
      </div>
      <br>
      <fieldset></fieldset>
      <br>
      </div></div><span><pre>_______________________________________________
Owasp-board mailing list
<a>Owasp-board@lists.owasp.org</a>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-board" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a>
</pre>
    </span></blockquote>
    <br>
  </div>

<br>_______________________________________________<br>
Owasp-board mailing list<br>
<a>Owasp-board@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-board" rel="noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a><br>
<br></blockquote></div><br></div>
</div></div></blockquote></div><br><br clear="all"><div><br></div></div></div><span><font color="#888888">-- <br><div><div dir="ltr"><div>Johanna Curiel </div>OWASP Volunteer</div></div>
</font></span></div>
</blockquote></div><br></div>
</div></div></blockquote></div><br></div>
</div></blockquote><blockquote type="cite"><div><span>_______________________________________________</span><br><span>Owasp-board mailing list</span><br><span><a>Owasp-board@lists.owasp.org</a></span><br><span><a href="https://lists.owasp.org/mailman/listinfo/owasp-board" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a></span><br></div></blockquote></div></blockquote></div>

<br>
</div></div><font style="background-color:white" color="#808080" size="2"><span style="font-family:'times new roman'">The information contained in this message and any attachments may be privileged, confidential, proprietary or otherwise protected from disclosure. If you, the reader of this message, are not the intended recipient, you are hereby notified that any dissemination, distribution, copying or use of this message and any attachment is strictly prohibited. If you have received this message in error, please notify the sender immediately by replying to the message, permanently delete it from your computer and destroy any printout.</span></font></blockquote></div><br></div>