<div dir="ltr">This is the first time I've heard anything about this and I'd imagine the same for the rest of the Board.  Karen, can you please speak with Steve and the staff to find out what is going on?  Thanks!<div><br></div><div>~josh</div><div><br><div><div class="gmail_quote">---------- Forwarded message ----------<br>From: <b class="gmail_sendername">Timur 'x' Khrotko [owasp]</b> <span dir="ltr"><<a href="mailto:timur@owasp.org">timur@owasp.org</a>></span><br>Date: Sun, Dec 10, 2017 at 1:45 PM<br>Subject: Re: [Owasp-leaders] [balint:6264]  Project Sponshorship, Support, and Finance<br>To: Steve Springett <<a href="mailto:steve.springett@owasp.org">steve.springett@owasp.org</a>><br>Cc: "<a href="mailto:owasp-leaders@lists.owasp.org">owasp-leaders@lists.owasp.org</a>" <<a href="mailto:owasp-leaders@lists.owasp.org">owasp-leaders@lists.owasp.org</a>><br><br><br><div dir="ltr">Steve, I'm just a naive spectator of your story.<div><br></div><div>First of all my impression is that it's better to postpone your negative decisions. Let your email be the first note, which gives a chance to OWASP to explain the situation or apologize for it, and probably start a change in its procedures. I personally would regret if you pulled your projects out of the OWASP umbrella.</div><div><br></div><div>Second, again naively my understanding is that money given to OWASP but addressed to your project are to be managed by your project like from the next day it lands at OWASP. The money of the mature and "blessed" projects should be under their disposal w/o any bureaucratic overhead. The project should be given a sheet of exact rules how to use the money properly. The proper handling of the money should be assisted by OWASP but not managed, and the proper handling should be audited in details ex post. May you steal the money discuss it with a policeman then. May you break the rules, your blessed status can be suspended. Otherwise it's your little enterprise under the OWASP umbrella, diy. The technical means for such distributed money management are present, even Revolut can be a solution for quick setup of an account and a card.</div><div><br></div><div>There was so many talking regarding the huge OWASP budgets that just sit on the account not being addressed. So let's make the use of the well addressed money straight forward if not yet so.</div><div><br></div><div>Thank you for the projects, best wishes,</div><div>Timur</div><div><br></div><br><div class="gmail_quote"><div><div class="h5"><div dir="ltr">On Sun, Dec 10, 2017 at 7:18 PM Steve Springett <<a href="mailto:steve.springett@owasp.org" target="_blank">steve.springett@owasp.org</a>> wrote:<br></div></div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div class="h5"><div style="word-wrap:break-word"><div id="m_7820882256438885359m_-943355109492160497bloop_customfont" style="font-family:Helvetica,Arial;font-size:13px;color:rgba(0,0,0,1.0);margin:0px;line-height:auto"><div id="m_7820882256438885359m_-943355109492160497bloop_customfont" style="margin:0px"><div id="m_7820882256438885359m_-943355109492160497bloop_customfont" style="margin:0px">One of the primary reasons why I choose to participate in OWASP projects as well as start my own is the support that the OWASP organization provides including the wiki, appsec activities, and project sponsorship.</div><div id="m_7820882256438885359m_-943355109492160497bloop_customfont" style="margin:0px"><br></div><div id="m_7820882256438885359m_-943355109492160497bloop_customfont" style="margin:0px">The decision to have donated multiple open source projects to OWASP has been tested over the past month without acceptable results.</div><div id="m_7820882256438885359m_-943355109492160497bloop_customfont" style="margin:0px"><br></div><div id="m_7820882256438885359m_-943355109492160497bloop_customfont" style="margin:0px">As many of you know, I have been heavily involved in Dependency-Check since 2012 and started Dependency-Track in 2013. Dependency-Track v3 (to be released in Q1 2018) will be the result of an entire year of work which has resulted in the creation of several supporting and smaller projects and many enhancements to Dependency-Check along the way.</div><div id="m_7820882256438885359m_-943355109492160497bloop_customfont" style="margin:0px"><br></div><div id="m_7820882256438885359m_-943355109492160497bloop_customfont" style="margin:0px">One of those smaller supporting projects is actually a big deal to a specific vulnerability intelligence vendor. I am working to incorporate the service the vendor provides as an optional feature into both Dependency-Check and Dependency-Track in an effort to bring additional capabilities to these projects on par with their commercial counterparts. The vendor in turn, chose to sponsor Dependency-Track, an act that I thought was very kind and very much appreciated that would actually benefit both the Dependency-Check and Dependency-Track projects as a result.</div><div id="m_7820882256438885359m_-943355109492160497bloop_customfont" style="margin:0px"><br></div><div id="m_7820882256438885359m_-943355109492160497bloop_customfont" style="margin:0px">The vendor informed me on November 3rd they made the donation and I immediately reached out to OWASP accounting and a few other individuals throughout the course of November including communications on November 4th, November 8th, November 10th, and November 28th. My purpose for this email is NOT to point fingers at individuals. Relying on a single person in an organization instead of an agreed upon process supported by leadership makes OWASP no better than a recent CEO pointing fingers at a single person for not applying a patch. It’s absurd and laughable. If relying on a single person is strategic, that strategy is flawed and needs to be fixed.</div><div id="m_7820882256438885359m_-943355109492160497bloop_customfont" style="margin:0px"><br></div><div id="m_7820882256438885359m_-943355109492160497bloop_customfont" style="margin:0px">Five weeks after the vendor made the contribution to sponsor the project and I still have not heard any details from OWASP about the nature of the contribution - even though the vendor shared those details with me.</div><div id="m_7820882256438885359m_-943355109492160497bloop_customfont" style="margin:0px"><br></div><div id="m_7820882256438885359m_-943355109492160497bloop_customfont" style="margin:0px">Five weeks after the vendor made the contribution and I still am not able to publicly thank them for their contribution.</div><div id="m_7820882256438885359m_-943355109492160497bloop_customfont" style="margin:0px"><br></div><div id="m_7820882256438885359m_-943355109492160497bloop_customfont" style="margin:0px">Five weeks after the vendor made the contribution and I’m still not able to follow the guidelines outlined in <a href="https://www.owasp.org/index.php/Project_Sponsorship_Operational_Guidelines" target="_blank">https://www.owasp.org/index.<wbr>php/Project_Sponsorship_<wbr>Operational_Guidelines</a>. </div><div id="m_7820882256438885359m_-943355109492160497bloop_customfont" style="margin:0px"><br></div><div id="m_7820882256438885359m_-943355109492160497bloop_customfont" style="margin:0px">Providing details on the contribution is required if OWASP expects to have project sponsorship. Even an answer that the contribution was made in error and was a general contribution instead would be an acceptable answer. No answer at all is not acceptable and I question OWASP’s ability to provide project sponsorship in the first place. </div><div id="m_7820882256438885359m_-943355109492160497bloop_customfont" style="margin:0px"><br></div><div id="m_7820882256438885359m_-943355109492160497bloop_customfont" style="margin:0px">The contribution was made using the same/similar mechanism the OWASP Defect Dojo project uses. I question if that project, or any other project using this method have received the support they deserve.</div><div id="m_7820882256438885359m_-943355109492160497bloop_customfont" style="margin:0px"><br></div><div id="m_7820882256438885359m_-943355109492160497bloop_customfont" style="margin:0px">If the donor didn’t inform me of their contribution, I would likely never know about this situation. This is not the type of organization I want to continue to be associated with.</div><div id="m_7820882256438885359m_-943355109492160497bloop_customfont" style="margin:0px"><br></div><div id="m_7820882256438885359m_-943355109492160497bloop_customfont" style="margin:0px">I am asking for a thorough review, not only on the Dependency-Track project, but on all projects that use this method of donation.</div><div id="m_7820882256438885359m_-943355109492160497bloop_customfont" style="margin:0px"><br></div><div id="m_7820882256438885359m_-943355109492160497bloop_customfont" style="margin:0px">I have not decided whether or not to continue donating my projects to OWASP or not. At risk for being pulled from OWASP are:</div><div id="m_7820882256438885359m_-943355109492160497bloop_customfont" style="margin:0px"><br></div><div id="m_7820882256438885359m_-943355109492160497bloop_customfont" style="margin:0px">Dependency-Check Jenkins plugin</div><div id="m_7820882256438885359m_-943355109492160497bloop_customfont" style="margin:0px">Dependency-Check SonarQube plugin</div><div id="m_7820882256438885359m_-943355109492160497bloop_customfont" style="margin:0px">Dependency-Track</div><div id="m_7820882256438885359m_-943355109492160497bloop_customfont" style="margin:0px"><br></div><div id="m_7820882256438885359m_-943355109492160497bloop_customfont" style="margin:0px">In all cases however, I will be removing the OWASP name from the above projects.</div><div id="m_7820882256438885359m_-943355109492160497bloop_customfont" style="margin:0px"><br></div><div id="m_7820882256438885359m_-943355109492160497bloop_customfont" style="margin:0px"><br></div></div></div><br><div id="m_7820882256438885359m_-943355109492160497bloop_sign_1512924062505039104" class="m_7820882256438885359m_-943355109492160497bloop_sign">—





     
        
     
     
        <table cellpadding="0" cellspacing="0" border="0">
<tbody>
                <tr>
                    <td>
                        <table cellpadding="0" cellspacing="0" border="0">
<tbody>
                                <tr>
                                    <td colspan="3" style="font-size:13px">
                                        <strong>Steve Springett</strong>
                                    </td>
                                     
</tr>
                                <tr>
                                    <td nowrap style="white-space:nowrap;font-size:13px">About: </td>
                                    <td width="10">  </td>
                                    <td nowrap style="white-space:nowrap;font-size:12px">
                                        <a href="https://about.me/stevespringett" target="_blank">https://about.me/<wbr>stevespringett</a>
                                    </td>
                                     
</tr>
                                <tr>
                                    <td nowrap style="white-space:nowrap;font-size:13px">GitHub: </td>
                                    <td width="10">  </td>
                                    <td nowrap style="white-space:nowrap;font-size:12px">
                                        <a href="https://github.com/stevespringett" target="_blank">https://github.com/<wbr>stevespringett</a>
                                    </td>
                                     
</tr>
                                <tr>
                                    <td nowrap style="white-space:nowrap;font-size:13px">Keybase: </td>
                                    <td width="10">  </td>
                                    <td nowrap style="white-space:nowrap;font-size:12px">
                                        <a href="https://keybase.io/stevespringett" target="_blank">https://keybase.io/<wbr>stevespringett</a>
                                    </td>
                                     
</tr>
                            </tbody>
                        </table>
                    </td>
                    <td width="20">  </td>
                    <td>
                        <a href="https://www.owasp.org" target="_blank">
                            <img src="https://www.owasp.org/images/a/a0/Owasp-logo-250.png" width="150" height="54">
                        </a>
                    </td>
                     
</tr>
            </tbody>
        </table>
     
</div></div>

<br>
</div></div><div><span style="color:rgb(102,204,204);font-family:'times new roman',serif;font-size:x-small;background-color:rgb(255,255,255)">This message may contain confidential information - you should handle it accordingly.</span></div>______________________________<wbr>_________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" target="_blank">https://lists.owasp.org/<wbr>mailman/listinfo/owasp-leaders</a><span class="HOEnZb"><font color="#888888"><br>
</font></span></blockquote></div></div><span class="HOEnZb"><font color="#888888"><div dir="ltr">-- <br></div><div class="m_7820882256438885359gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div dir="ltr"><div><font color="#999999">   </font></div><div><font color="#999999">secmachine․net</font><font color="#999999"> #wepowersecdev</font></div></div></div></div>
</font></span><br>______________________________<wbr>_________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" target="_blank">https://lists.owasp.org/<wbr>mailman/listinfo/owasp-leaders</a><br>
<br></div><br></div></div></div>