<html><body>Could you imagine if someone joined our project where we didn't know their employer or even that they are really who they say they are and discover this employee works for Whizlabs or some other entity that sells test questions? It would mean that our process is flawed and more importantly would probably result in invalidating all the hard work done by others. <br><br>How about a compromise where the sole confirmation I need is an email from their work email indicating that all is well. Sorry, for caring about the team...<br><br>
<blockquote webmail="1" style="border-left: 2px solid blue; margin-left: 8px; padding-left: 8px;">
-------- Original Message --------<br>
Subject: Re: [Owasp-cert] Deadlines for August<br>
From: "Matthew Chalmers" &lt;matthew.chalmers@owasp.org&gt;<br>
Date: Mon, July 28, 2008 3:57 pm<br>
To: <a href="mailto:james@architectbook.com">james@architectbook.com</a><br>
Cc: <a href="mailto:owasp-cert@lists.owasp.org">owasp-cert@lists.owasp.org</a><br>
<br>
<div dir="ltr"><div>Ah, that makes more sense now, thanks for clarifying. There might be some problems, though.</div> <div>&nbsp;</div> <div>1. Some people will&nbsp;decline to submit exam content--possibly content which could be great for the exam--because they're required to provide their company name but can't (some people will ask their company and the company will say no)&nbsp;or&nbsp;don't want to, for whatever reason, valid or no. This also makes OWASP appear not as "free and open." The only way I see around this is to have everyone who submits content sign or agree to some kind of waiver which states they created what they are submitting and can be held personally responsible if otherwise, however, this will still cause some people to decline to submit content.</div> <div>&nbsp;</div> <div>2. Some companies that are surprised to find their name associated with this project&nbsp;or OWASP may attempt to take action against OWASP or the individual from the company. It may be as simple as asking us to remove their name but it could be worse, for OWASP or the individual who had the best intentions and was just doing what OWASP said.</div> <div>&nbsp;</div> <div>3. We may need our own privacy policy for this project. No other OWASP project I'm aware of requires volunteers to give their company name because it's irrelevant. Sure OWASP in general would like to have respected company names associated with its work, as you indicated,&nbsp;but it's never been compulsory. If we require content submitters to submit anything--at all--other than the exam content they've come up with, that we intend to use somehow other than perhaps storing away in a database (which has its own concerns), we may need to have a disclosure statement about how we intend to use that info. So this is legal document/contract number 2, or maybe 3 (see #1 above). And we know you really, really, really, really, really, hate NDAs. ;-)</div> <div>&nbsp;</div> <div>There may be other problems I haven't thought of...</div> <div>&nbsp;</div> <div>Matt</div><br></div> 
</blockquote></body></html>