Larry/Kate/Board/Committee Chairs,<div><br></div><div>Several people (myself included) have made the mistake recently of sending to the <a href="mailto:owasp-leaders@owasp.org">owasp-leaders@owasp.org</a> Google Group instead of the <a href="mailto:owasp-leaders@lists.owasp.org">owasp-leaders@lists.owasp.org</a> Mailman list.</div>

<div><br></div><div>I&#39;m sure this has been happening for quite some time as Google helpfully populates addresses from the organization user list.</div><div><br></div><div>In fact, a look at the &quot;OWASP Leaders&quot; Google Group shows messages dating back to September 2010!</div>

<div><br></div><div>This Google Group is not the email address that everyone expects to use for the &quot;Leaders List&quot;. Moreover, I don&#39;t believe it accurately represents the leaders, as membership to the the Google Group is extended only to (and automatically to) anyone with an @<a href="http://owasp.org">owasp.org</a> accounts. While *most* leaders have @<a href="http://owasp.org">owasp.org</a> accounts, to my knowledge, not necessarily *all* leaders have @<a href="http://owasp.org">owasp.org</a> accounts. In fact, under the current OWASP Membership policy, my understanding is that all paid members have @<a href="http://owasp.org">owasp.org</a> accounts, so we will be catching &quot;non-leaders&quot; with these emails to the Google Group.</div>

<div><br></div><div>My recollection is that the OWASP Google Groups were compiled originally by Larry as a potential replacement for mailman shortly after we migrated to Google Apps infrastructure. However, we realized that Google App accounts are required to access the web portion. Google Accounts are not available everywhere in the world and as an international organization, that&#39;s a severely limiting factor.</div>

<div><br></div><div>As a result, my understanding was that we never rolled out and migrated to these Google groups.</div><div><br></div><div>Nonetheless, they remain active and the email addresses are &quot;live&quot;, open and available.</div>

<div><br></div><div>The vast majority of these lists have never been used. Based on the confusion and activity, my guess that the vast majority of any activity on these groups is &quot;by accident&quot;.</div><div><br></div>

<div>There are a few lists that are seem to be intentionally used instead of mailman and do not follow the standard &quot;owasp-XXX&quot; mailing list convention:</div><div>* The Board uses the &quot;OWASP&quot; Google Groups (<a href="https://groups.google.com/a/owasp.org/group/owasp/topics">https://groups.google.com/a/owasp.org/group/owasp/</a>)</div>

<div>* The Connections Committee uses the &quot;Press&quot; Google Group (<a href="https://groups.google.com/a/owasp.org/group/press">https://groups.google.com/a/owasp.org/group/press</a>)</div><div>* The GPC uses the &quot;Projects&quot; Google Group (<a href="https://groups.google.com/a/owasp.org/group/projects">https://groups.google.com/a/owasp.org/group/projects</a>)</div>

<div>* The Summit planning team also used a number of groups (&quot;summit-*&quot;) before and during the event for operational purposes</div><div><br></div><div>These separate groups make sense as a means to contact specific groups without having to be subscribed to a mailing list while still conducting the conversation in a way that is archived and open. It also insulates the population of the entire mailing list from having to deal with every such request to that group.  So it makes sense for groups explicitly deciding to do this (as the Board, Connections Committee, and GPC have done)</div>

<div><br></div><div>However, for all the mailing lists and groups that are *not* aware of this service, I believe that continuing to have &quot;two&quot; parallel mailing lists is extremely confusing and can potentially fracture the dialogue in the community.</div>

<div><br></div><div>I would like to remove these groups to avoid future confusion - but before acting, I&#39;d like to understand if I&#39;m missing a piece of the puzzle.</div><div><br></div><div>My plan would be as follows:</div>

<div>- Examine each OWASP Google Group</div><div>- If Google Group has no messages and is clearly not in use, remove the email alias</div><div>- If the Google Group has messages and is in use, determine if usage is accidental or intentional</div>

<div>--- For accidental usage, close the group and redirect the email alias to the corresponding Mailman list</div><div>--- For intentional usage, ensure that the group knows the distinction and publicize the result</div>

<div><br></div><div>If I hear no comments from the group, I&#39;m going to proceed with my plan of action slowly but surely starting August 1st.</div><div><br></div><div>-Jason</div>