<div dir="ltr"><div>Ah, that makes more sense now, thanks for clarifying. There might be some problems, though.</div>
<div>&nbsp;</div>
<div>1. Some people will&nbsp;decline to submit exam content--possibly content which could be great for the exam--because they&#39;re required to provide their company name but can&#39;t (some people will ask their company and the company will say no)&nbsp;or&nbsp;don&#39;t want to, for whatever reason, valid or no. This also makes OWASP appear not as &quot;free and open.&quot; The only way I see around this is to have everyone who submits content sign or agree to some kind of waiver which states they created what they are submitting and can be held personally responsible if otherwise, however, this will still cause some people to decline to submit content.</div>

<div>&nbsp;</div>
<div>2. Some companies that are surprised to find their name associated with this project&nbsp;or OWASP may attempt to take action against OWASP or the individual from the company. It may be as simple as asking us to remove their name but it could be worse, for OWASP or the individual who had the best intentions and was just doing what OWASP said.</div>

<div>&nbsp;</div>
<div>3. We may need our own privacy policy for this project. No other OWASP project I&#39;m aware of requires volunteers to give their company name because it&#39;s irrelevant. Sure OWASP in general would like to have respected company names associated with its work, as you indicated,&nbsp;but it&#39;s never been compulsory. If we require content submitters to submit anything--at all--other than the exam content they&#39;ve come up with, that we intend to use somehow other than perhaps storing away in a database (which has its own concerns), we may need to have a disclosure statement about how we intend to use that info. So this is legal document/contract number 2, or maybe 3 (see #1 above). And we know you really, really, really, really, really, hate NDAs. ;-)</div>

<div>&nbsp;</div>
<div>There may be other problems I haven&#39;t thought of...</div>
<div>&nbsp;</div>
<div>Matt</div>
<div><br>&nbsp;</div>
<div class="gmail_quote">On Mon, Jul 28, 2008 at 5:41 AM, <span dir="ltr">&lt;<a href="mailto:james@architectbook.com">james@architectbook.com</a>&gt;</span> wrote:<br>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">
<div>Matt, one of the things that we are responsible for checking is the actual ownership of content. Imagine a scenario where someone who was employed by Microsoft contributed questions that came from one of the MCSD exams and then MS approached us claiming plagiarism or even saying that OWASP compromised the security of their exam. The need to know the employer helps us protect the integrity of the exam. This however doesn&#39;t mean that just because we know it, that we will publish it. In fact, we should have specific permission in order to do so.<br>
<br>In terms of the marketing aspects, it helps OWASP market the exam if they see it has marquee names on it. Consider the scenario a person named Celia Cruz who has 15 years of software security background. Which would be more credible from a marketing perspective, Celia Cruz of anonymous employer or Celia Cruz of Department of Homeland Security.<br>
<br>At some level, some folks contribute to OWASP without their employer&#39;s involvement while others do with the full blessing of their employers. Of course the later is better than the former...<br><br>
<blockquote style="PADDING-LEFT: 8px; MARGIN-LEFT: 8px; BORDER-LEFT: blue 2px solid">
<div class="Ih2E3d">-------- Original Message --------<br>Subject: Re: [Owasp-cert] Deadlines for August<br>From: &quot;Matthew Chalmers&quot; &lt;<a href="mailto:matthew.chalmers@owasp.org" target="_blank">matthew.chalmers@owasp.org</a>&gt;<br>
</div>
<div class="Ih2E3d">Date: Sun, July 27, 2008 10:49 pm<br>To: <a href="mailto:owasp-cert@lists.owasp.org" target="_blank">owasp-cert@lists.owasp.org</a><br><br></div>
<div class="Ih2E3d">
<div dir="ltr">
<div>I&#39;m afraid I don&#39;t understand. I work for Rockwell Automation. I don&#39;t speak for them and I don&#39;t want anyone to&nbsp;assume I am speaking for them if I don&#39;t explicitly say so. I don&#39;t have any problem with anybody in OWASP refraining from volunteering their employer&#39;s name. I don&#39;t see what benefit there is in&nbsp;requiring everyone on this project, or everyone who submits exam content for consideration, to give their employer&#39;s name. Some people might not even have one, and that shouldn&#39;t mean they can&#39;t help.</div>

<div>&nbsp;</div>
<div>Whether my company gives,&nbsp;or companies in general give, permission to use the name associated with submitting exam content for this cert, or for any other reason in connection with OWASP, doesn&#39;t mean I want to or have to. My ideas and opinions are my own when it comes to volunteering with OWASP and my employer has nothing to do with it. Your point #4 below makes no sense to me.</div>

<div>&nbsp;</div>
<div>Matt</div></div><br></div></blockquote></div><br>_______________________________________________<br>Owasp-cert mailing list<br><a href="mailto:Owasp-cert@lists.owasp.org">Owasp-cert@lists.owasp.org</a><br><a href="https://lists.owasp.org/mailman/listinfo/owasp-cert" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-cert</a><br>
<br></blockquote></div><br></div>