<div dir="ltr"><div>Agreed on starting with the WoF.  But, does that mean that our initial deposit (ie. the money that we could reward from) should be $0?  Or, if someone found something major, would we want to have the ability to reward that?<br><br></div>~josh<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Apr 18, 2016 at 1:45 PM, Jim Manico <span dir="ltr"><<a href="mailto:jim.manico@owasp.org" target="_blank">jim.manico@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
  
    
  
  <div bgcolor="#FFFFFF" text="#000000">
    +1 What a very sensible way to start. Shake out the lower, low
    hanging fruit before turning on the money spigot...<br>
    <br>
    Aloha,<br>
    Jim<div><div class="h5"><br>
    <br>
    <div>On 4/18/16 8:40 AM, Bil Corry wrote:<br>
    </div>
    <blockquote type="cite">
      <div dir="ltr">
        <div>Speaking as someone that knows a thing or two about bug
          bounty programs, I strongly suggest you start with the wall of
          fame.  After you've fixed all the found issues and have an
          understanding of roughly how many bugs you'll get on-going,
          then you can allocate funds (bounties, swag, etc) for bugs. 
          If you do it from the beginning, I guarantee you'll break the
          bank.</div>
        <div><br>
        </div>
        <div>Also, be sure your terms of service prohibit providing
          anything of monetary worth to persons on the sanctions list or
          persons residing in sanctioned/embargoed countries.  I'm
          assuming Bug Crowd is vetting the bug researchers for this.</div>
        <div><br>
        </div>
        <div><br>
        </div>
        <div>- Bil</div>
      </div>
      <div class="gmail_extra"><br>
        <div class="gmail_quote">On Mon, Apr 18, 2016 at 4:06 PM, Josh
          Sokol <span dir="ltr"><<a href="mailto:josh.sokol@owasp.org" target="_blank">josh.sokol@owasp.org</a>></span>
          wrote:<br>
          <blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
            <div dir="ltr">
              <div>
                <div>Board,<br>
                  <br>
                </div>
                Now that we have announced BugCrowd as our bug bounty
                program platform, it is time to take the next step of
                figuring out how much of a bounty we want to start
                with.  There is no minimum funding amount (we could do
                "kudo" bounties if we want) and we can scale the rewards
                however we would like for different categories. 
                Obviously, money equates to more motivated researchers. 
                BugCrowd's recommendation is to fund the initial pot at
                $5,000 and go from there.  I think we were originally
                talking about just leveraging a Wall of Fame to start
                with (ie. "kudos"), but I wanted to see what others
                thought about it.  Should we throw some money into the
                pot?  How much?  Your feedback is greatly appreciated.<span><font color="#888888"><br>
                    <br>
                  </font></span></div>
              <span><font color="#888888">~josh<br>
                </font></span></div>
            <br>
            _______________________________________________<br>
            Owasp-board mailing list<br>
            <a href="mailto:Owasp-board@lists.owasp.org" target="_blank">Owasp-board@lists.owasp.org</a><br>
            <a href="https://lists.owasp.org/mailman/listinfo/owasp-board" rel="noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a><br>
            <br>
          </blockquote>
        </div>
        <br>
      </div>
      <br>
      <fieldset></fieldset>
      <br>
      <pre>_______________________________________________
Owasp-board mailing list
<a href="mailto:Owasp-board@lists.owasp.org" target="_blank">Owasp-board@lists.owasp.org</a>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-board" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a>
</pre>
    </blockquote>
    <br>
  </div></div></div>

</blockquote></div><br></div>