<div dir="ltr">ZAP currently has $8,373.11 in funds.  Why would the Foundation put up the money when ZAP has more than enough currently to cover its bounties?<div><br></div><div>Java Encoder and Java Sanitizer each have $500.  Can we start with that and see if we need more funds after that?  Keep in mind that the $500 was a grant from the Foundation to empower these projects to do things exactly like this.  Why would they not be spending it?</div><div><br></div><div>I don't see CSRFGuard in the donation scoreboard which likely means that they don't have any funds.  That also likely means that they don't have at least two active leaders or else they would have received the $500 stipend.</div><div><br></div><div>~josh</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Nov 10, 2016 at 2:31 PM, johanna curiel curiel <span dir="ltr"><<a href="mailto:johanna.curiel@owasp.org" target="_blank">johanna.curiel@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div style="font-size:13px">Hi Bil</div><span class=""><div style="font-size:13px"><br></div><div style="font-size:13px">>>What are the proposed bounty amounts?  </div><span style="font-size:13px">>>Who decides which bugs qualify and how much is paid?  What happens when the $6k runs out?</span></span><div><br><div style="font-size:13px">That mostly depends on the type of Bug. For example ZAP team can decide how much they will pay for a certain bug. Each bug can be classified from low to High, being high the highest you can pay, but the amount can be defined by ourselves</div><div style="font-size:13px"><br></div><div style="font-size:13px">Example</div><div style="font-size:13px"><br></div><div style="font-size:13px">Low ==>USD50</div><div style="font-size:13px">medium==> USD 100</div><div style="font-size:13px">High==> USD 500</div><div style="font-size:13px"><br></div><div style="font-size:13px">First come first served. The first one to report gets the prize.Old bugs do not count.</div><div style="font-size:13px"><br></div><div style="font-size:13px">If we run out of budget this year we can:</div><div style="font-size:13px">Make a new request or </div><div style="font-size:13px">we go back to Kudos ;-P . </div><div style="font-size:13px"><br></div><div style="font-size:13px">It can also happen that no-one finds anything and the money will be reserved until it is. </div><span class=""><div style="font-size:13px"><br></div><div style="font-size:13px">>>And to gauge the flow of funds, pretend you had been paying a bounty, how much would you have paid so far on the already-received bugs?</div><div style="font-size:13px"><br></div></span><div style="font-size:13px">Nothing, since the program at that moment was running on Kudos. The bug hunters receive Points that help their ranking, that was the initial motivation but many do not just do it for these purpose but financially. </div><div class="m_6603737242677470474gmail-yj6qo m_6603737242677470474gmail-ajU" style="font-size:13px"><div id="m_6603737242677470474gmail-:16v" class="m_6603737242677470474gmail-ajR"><img class="m_6603737242677470474gmail-ajT" src="https://ssl.gstatic.com/ui/v1/icons/mail/images/cleardot.gif" style="opacity:0.3"></div><div id="m_6603737242677470474gmail-:16v" class="m_6603737242677470474gmail-ajR">Cheers</div><span class="HOEnZb"><font color="#888888"><div id="m_6603737242677470474gmail-:16v" class="m_6603737242677470474gmail-ajR"><br></div><div id="m_6603737242677470474gmail-:16v" class="m_6603737242677470474gmail-ajR">Johanna</div></font></span></div></div></div><div class="gmail_extra"><div><div class="h5"><br><div class="gmail_quote">On Thu, Nov 10, 2016 at 5:35 PM, psiinon <span dir="ltr"><<a href="mailto:psiinon@gmail.com" target="_blank">psiinon@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div>Oh, and I dont think that any of the previously reported bugs would qualify for the bounty.<br><br></div>Simon<br></div><div class="m_6603737242677470474HOEnZb"><div class="m_6603737242677470474h5"><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Nov 10, 2016 at 4:31 PM, psiinon <span dir="ltr"><<a href="mailto:psiinon@gmail.com" target="_blank">psiinon@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div><div><div>At the moment I believe it is only ZAP that is paying any money out.<br>The change to pay out money has only just been made today so we have not paid anything out yet.<br></div>We will pay $1000 for (just) RCE vulnerabilities in ZAP. There are various exclusions as detailed on <a href="https://bugcrowd.com/owaspzap" target="_blank">https://bugcrowd.com/owaspzap</a><br></div><div>The final decision will be made by the ZAP team in conjunction with bugcrowd.<br></div>We are planning on paying for any bounties from the ZAP project funds, although obviously any help from OWASP would be appreciated :)<br></div><div>If we receive so many valid submissions that we run out of project funds then we will either need to raise more funds or change the program to reduce / remove the bounty.<br></div><br></div>Cheers,<br><br></div>Simon<br></div><div class="gmail_extra"><div><div class="m_6603737242677470474m_-9082853596203849179h5"><br><div class="gmail_quote">On Thu, Nov 10, 2016 at 4:07 PM, Bil Corry <span dir="ltr"><<a href="mailto:bil.corry@owasp.org" target="_blank">bil.corry@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div>What are the proposed bounty amounts?  Who decides which bugs qualify and how much is paid?  What happens when the $6k runs out?</div><div><br></div><div>And to gauge the flow of funds, pretend you had been paying a bounty, how much would you have paid so far on the already-received bugs?</div><span class="m_6603737242677470474m_-9082853596203849179m_4397534415701385948HOEnZb"><font color="#888888"><div><br></div><div><br></div><div>- Bil</div></font></span></div><div class="gmail_extra"><br><div class="gmail_quote"><div><div class="m_6603737242677470474m_-9082853596203849179m_4397534415701385948h5">On Thu, Nov 10, 2016 at 5:22 AM, johanna curiel curiel <span dir="ltr"><<a href="mailto:johanna.curiel@owasp.org" target="_blank">johanna.curiel@owasp.org</a>></span> wrote:<br></div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div class="m_6603737242677470474m_-9082853596203849179m_4397534415701385948h5"><div dir="ltr">Dear Board,<div><br></div><div>So far the bug bounty is running since May , and I believe one of the projects that have benefit most from this program is ZAP. </div><div><br></div><div>Others projects which are less popular have not received many submissions, still valuable feedback. </div><div><br></div><div>So far it is clear that for bug hunters to spent time on this there must be a financial gain, not just kudos. Zap has recently launched monetary bounties from their own project budget (USD 1000).</div><div><br></div><div>My request is to have a Budget of USD 6000 for the Bounty as a support for projects that are working proactively in their security. ZAP is sure leading by example and with this budget, we can have the existing participating projects   being challenged by this</div><div><br></div><div>For the budget , it will be break down as follows</div><div><ul><li>ZAP==>USD 2000<br></li><li>Java Encoder==>USD1000<br></li><li>Java Sanitizer==> USD 1000<br></li><li>CRSFGuard==>USD 1000<br></li><li>Any new project that wants to participate==>USD 1000</li></ul></div><div>We can discuss this during the next OWASP meeting</div><div><br></div><div>Regards</div><span class="m_6603737242677470474m_-9082853596203849179m_4397534415701385948m_4410649201977718581HOEnZb"><font color="#888888"><div><br></div><div>Johanna</div><div><div><br></div><div class="m_6603737242677470474m_-9082853596203849179m_4397534415701385948m_4410649201977718581m_3032910397243068410gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><br></div></div>
</div></font></span></div>
<br></div></div><span>______________________________<wbr>_________________<br>
Owasp-board mailing list<br>
<a href="mailto:Owasp-board@lists.owasp.org" target="_blank">Owasp-board@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-board" rel="noreferrer" target="_blank">https://lists.owasp.org/mailma<wbr>n/listinfo/owasp-board</a><br>
<br></span></blockquote></div><br></div>
<br>______________________________<wbr>_________________<br>
Owasp-board mailing list<br>
<a href="mailto:Owasp-board@lists.owasp.org" target="_blank">Owasp-board@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-board" rel="noreferrer" target="_blank">https://lists.owasp.org/mailma<wbr>n/listinfo/owasp-board</a><br>
<br></blockquote></div><br><br clear="all"><br></div></div><span>-- <br><div class="m_6603737242677470474m_-9082853596203849179m_4397534415701385948gmail_signature" data-smartmail="gmail_signature"><a href="https://www.owasp.org/index.php/ZAP" target="_blank">OWASP ZAP</a> Project leader<br></div>
</span></div>
</blockquote></div><br><br clear="all"><br>-- <br><div class="m_6603737242677470474m_-9082853596203849179gmail_signature" data-smartmail="gmail_signature"><a href="https://www.owasp.org/index.php/ZAP" target="_blank">OWASP ZAP</a> Project leader<br></div>
</div>
</div></div></blockquote></div><br><br clear="all"><div><br></div></div></div><span class="">-- <br><div class="m_6603737242677470474gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div>Johanna Curiel </div>OWASP Volunteer</div></div>
</span></div>
<br>______________________________<wbr>_________________<br>
Owasp-board mailing list<br>
<a href="mailto:Owasp-board@lists.owasp.org">Owasp-board@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-board" rel="noreferrer" target="_blank">https://lists.owasp.org/<wbr>mailman/listinfo/owasp-board</a><br>
<br></blockquote></div><br></div>