<div dir="ltr"><div><div><div>Board,<br><br></div>We had three companies submit proposals for the OWASP Bug Bounty Program.  Selecting one of them was a very difficult decision.  With the proposals themselves being fairly equal, we placed much of our emphasis in making the decision on the functional aspects of the platforms.  Johanna created an excellent matrix of desired functionality which we were able to use to narrow down to the one we selected.  Even that was a difficult decision, but we have officially given the nod to the company who handles the triage and validation of vulnerabilities internally (as opposed to outsourced) as we felt that having an internal team looking after us would provide the most value.  We are still firming up the contractual pieces, but I feel confident in announcing to you that we have officially selected BugCrowd as OWASP's new Bug Bounty platform.<br><br></div>The BugCrowd team is very excited about the prospects of working more closely with us and has already reached out to Johanna about onboarding a couple of projects that she was interested in handling bug bounties for.  I am out on vacation next week, but my next steps here will be to work with the staff as well as some members of the team and community in order to scope out and define what a formal bug bounty program will look like for the OWASP Foundation and it's assets.  I am unable to attend this month's Board meeting, so please consider this my official update on the progress and I will hopefully have and update on our progression for the May meeting.  Thank you!<br><br></div>~josh<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Apr 7, 2016 at 3:48 PM, Bil Corry <span dir="ltr"><<a href="mailto:bil.corry@owasp.org" target="_blank">bil.corry@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div>Sounds great, thank you for the information.</div><span class="HOEnZb"><font color="#888888"><div><br></div><div><br></div><div>- Bil</div></font></span></div><div class="HOEnZb"><div class="h5"><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Apr 7, 2016 at 9:59 PM, johanna curiel curiel <span dir="ltr"><<a href="mailto:johanna.curiel@owasp.org" target="_blank">johanna.curiel@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><span style="font-size:13px"><br></span></div><span style="font-size:13px">.>Apologies, I probably miss it, but is OWASP paying bounties?  Or just providing recognition?  And what's the scope for the program?</span><div><br></div><div>Hi Bill, </div><div><br></div><div>Clarifications on your questions:<br><div><span style="font-size:13px"><br></span></div><div>No, OWASP will not be paying bounties but purely recognition, sure in this first phase once it is announced which Bounty management company we have selected</div><span><div><br></div><div><span style="font-size:13px"> >>And what's the scope for the program?</span><br></div><div><span style="font-size:13px"><br></span></div></span><div>Right now the part I'll be supporting , some security libraries will participate in the program, to start with </div><div><ul><li>CRSFGuard <br></li><li>OWASP SeraphimDroid<br></li></ul><div>Other projects leaders could manage a program directly within the interface, like ZAP.</div></div><div><br></div><div>The management of vulnerabilities will be totally in charge of the Bounty service provider and only those confirmed bugs we need to finalise verifying</div><div><br></div><div>The idea is also to have a Bounty program for OWASP wiki and mailman, this is lead by Frank Catucci and other OWASP volunteers that offered their support:</div><div><a style="font-size:13px" href="https://www.owasp.org/index.php/Help_Secure_Owasp_assests" target="_blank">https://www.owasp.org/index.php/Help_Secure_Owasp_assests</a><br></div><div><br></div><div>Cheers</div><div><br></div><div>Johanna</div><div><br></div></div></div><div class="gmail_extra"><div><div><br><div class="gmail_quote">On Thu, Apr 7, 2016 at 3:46 PM, Bil Corry <span dir="ltr"><<a href="mailto:bil.corry@owasp.org" target="_blank">bil.corry@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid"><div dir="ltr"><div>Apologies, I probably miss it, but is OWASP paying bounties?  Or just providing recognition?  And what's the scope for the program?</div><span><font color="#888888"><div><br></div><div><br></div><div>- Bil</div></font></span></div><div><div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Apr 6, 2016 at 10:53 PM, Jim Manico <span dir="ltr"><<a href="mailto:jim.manico@owasp.org" target="_blank">jim.manico@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid">
  
    
  
  <div text="#000000" bgcolor="#FFFFFF">
    All good Josh, thank you for this. I support the process.<br>
    <br>
    Aloha,<br>
    Jim<div><div><br>
    <br>
    <div>On 4/6/16 10:12 AM, Josh Sokol wrote:<br>
    </div>
    </div></div><blockquote type="cite"><div><div>
      <div dir="ltr">
        <div>
          <div>OWASP Board,<br>
            <br>
          </div>
          The OWASP Bug Bounty initiative team, consisting of Kelly,
          Claudia, Johanna, Frank, Simon, and myself, have performed
          both a technical and contractual analysis of three bug bounty
          vendors.  We have come to a consensus on the vendor that we
          feel will provide us with the most capabilities and will be
          the best fit for the OWASP Foundation.  Before we notify the
          vendors and make an announcement of our selected vendor, I
          wanted to ask if any of you had any reservations with respect
          to the team's ability to conduct an impartial evaluation and
          select a vendor to move forward with?  If there are any
          concerns, I want to make sure that they are addressed now,
          before an announcement has been made.  If not, then you can
          expect an announcement in the next few days.  Thank you.<br>
          <br>
        </div>
        ~josh<br>
      </div>
      <br>
      <fieldset></fieldset>
      <br>
      </div></div><span><pre>_______________________________________________
Owasp-board mailing list
<a href="mailto:Owasp-board@lists.owasp.org" target="_blank">Owasp-board@lists.owasp.org</a>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-board" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a>
</pre>
    </span></blockquote>
    <br>
  </div>

<br>_______________________________________________<br>
Owasp-board mailing list<br>
<a href="mailto:Owasp-board@lists.owasp.org" target="_blank">Owasp-board@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-board" rel="noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a><br>
<br></blockquote></div><br></div>
</div></div></blockquote></div><br><br clear="all"><div><br></div></div></div><span><font color="#888888">-- <br><div><div dir="ltr"><div>Johanna Curiel </div>OWASP Volunteer</div></div>
</font></span></div>
</blockquote></div><br></div>
</div></div></blockquote></div><br></div>