Mike, Larry and Alex, I know you are all motivated and excited about the new tab system that you are implementing (which is great) and have started playing with it on the main OWASP projects page, EASPI and ASVS <div><br></div>
<div>But, can you guys (and who is also involved in these WIKI experiments), make sure that you pay attention to the small details related to the way OWASP projects are mapped, classified and rated.</div><div><br></div><div>
I know that in the past, the information about the OWASP projects has not been very well organized, but over the past year (mainly via the SoCs and Paulo Coimbra and Kate&#39;s work) there has an been an enormous amount of work done on them, and we must make sure we don&#39;t lose it.</div>
<div><br></div><div>A good example are the standard project information tables we implemented and that need to be taken into account in the new design (btw, Pravir just added the previous template as a tab to the EASPI page to see how it works, and it looked ok).</div>
<div><br></div><div>Another example of the type of detail that is important (today, in OWASP&#39;s 2009 world) are the places where the current assessment criteria has been applied. For example following the idea suggested in this thread about an  &quot;<span class="Apple-style-span" style="border-collapse: collapse; white-space: pre-wrap; -webkit-border-horizontal-spacing: 2px; -webkit-border-vertical-spacing: 2px; ">(Assessment Criteria v1.0)&quot; , you guys added that tag to all projects currently listed on the main OWASP project page: <span class="Apple-style-span" style="border-collapse: separate; white-space: normal; -webkit-border-horizontal-spacing: 0px; -webkit-border-vertical-spacing: 0px; "><a href="http://www.owasp.org/index.php/Category:OWASP_Project">http://www.owasp.org/index.php/Category:OWASP_Project</a></span><span class="Apple-style-span" style="border-collapse: separate; white-space: normal; -webkit-border-horizontal-spacing: 0px; -webkit-border-vertical-spacing: 0px; "></span></span></div>
<div><br></div><div>The problem is that NOT ALL projects listed there have gone thought that assessment criteria (see here for a page containing the most up-to-date information about the project criteria status of the SoC projects: <a href="http://docs.google.com/Doc?id=dcn8962c_41hjg48kd4">http://docs.google.com/Doc?id=dcn8962c_41hjg48kd4</a>) and in fact a majority of those projects have NOT been classified at all (they are Alpha, Beta or Release for Historic reasons).</div>
<div><br></div><div>You also dropped the comment<span class="Apple-style-span" style="font-style: italic;">:</span></div><div><span class="Apple-style-span" style="font-style: italic;"><br></span></div><div><span class="Apple-style-span" style="font-style: italic;">&quot;...</span><span class="Apple-style-span" style="font-family: -webkit-sans-serif; line-height: 19px; "><span class="Apple-style-span" style="font-style: italic;">We have started the process of defining detailed guidelines which indicate what will be required from an OWASP Project in order for it to be classified an OWASP Release quality project (see </span><a href="http://www.owasp.org/index.php/Category:OWASP_Project_Assessment" title="Category:OWASP Project Assessment" style="text-decoration: none; background-image: none; background-repeat: initial; background-attachment: initial; -webkit-background-clip: initial; -webkit-background-origin: initial; background-color: initial; color: rgb(90, 54, 150); background-position: initial initial; "><span class="Apple-style-span" style="font-style: italic;">Project Assessment Criteria</span></a><span class="Apple-style-span" style="font-style: italic;">). <span class="Apple-style-span" style="font-weight: bold;">Please note that not all the projects below have been evaluated under this criteria and might be re-classified once that process is complete</span>d.</span><span class="Apple-style-span" style="font-family: arial; line-height: normal; "><span class="Apple-style-span" style="font-style: italic;"> ...&quot;</span> </span></span></div>
<div><br></div><div><span class="Apple-style-span" style="font-family: -webkit-sans-serif; line-height: 19px; "><span class="Apple-style-span" style="font-family: arial; line-height: normal; ">that was present in the old version (<a href="http://www.owasp.org/index.php?title=Category:OWASP_Project&amp;oldid=55662">http://www.owasp.org/index.php?title=Category:OWASP_Project&amp;oldid=55662</a>) , and contained that important caveat (in bold). </span></span></div>
<div><br></div><div>So, keep up the great work, but please take into account these small details that take time to get right, are a pain to implement, but are what is making OWASP what it is today :)</div><div><br></div><div>
The reason I wanted to raise these &#39;small&#39; points in this discussion is that we must remember that we are making (or proposing) changes that apply to ALL OWASP projects, and there are a lot of &#39;unintended consequences&#39; when we make any type of global changes.</div>
<div><br></div><div>Please keep up with this thread since there are still quite a lot of items that need to be clarified and debated.</div><div><br></div><div>Thanks</div><div><br></div><div>Dinis Cruz </div><div><br></div>
<div><br></div><div><br></div><div><div class="gmail_quote">2009/3/9 Paulo Coimbra <span dir="ltr">&lt;<a href="mailto:paulo.coimbra@owasp.org">paulo.coimbra@owasp.org</a>&gt;</span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">









<div lang="EN-GB" link="blue" vlink="purple">

<div>

<p><span style="color:#1F497D">Leaders,</span></p>

<p><span style="color:#1F497D"> </span></p>

<p><span style="font-size:11.0pt;color:#1F497D">As Matt has said, the discussion of downgrading to Alpha grew
out of the committee trying to figure out <u>how to handle non-responsive
project leads and/or dead projects which had never been assessed</u>.  </span></p>

<p><span style="color:#1F497D"> </span></p>

<p><span style="font-size:11.0pt;color:#1F497D">In fact we’ve never thought about downgrading projects
already evaluated. We were simply thinking in proposing a division in two
categories –projects with and without assessment. </span></p>

<p><span style="font-size:11.0pt;color:#1F497D"> </span></p>

<p><span style="font-size:11.0pt;color:#1F497D">For what it&#39;s worth, I agree with Stephan when he says
“Before a new assessment criteria version becomes official or released,
there would be a 3 or 6 month period allowed for project owners to
&quot;certify&quot; their projects for the new version.”</span></p>

<p><span style="font-size:11.0pt;color:#1F497D"> </span></p>

<p><span style="font-size:11.0pt;color:#1F497D">In addition, I believe the suggestion made by Stephan/Mike is
also worth following – assessment references included in the OWASP
Projects page should prominently inform about the followed assessment criteria
version - i.e. “Assessment Criteria version 1.0” if the projects
were assessed under the assessment criteria currently in use or
“Assessment Criteria version 2.0” for those ones that </span><span style="font-size:11.0pt;color:#1F497D">are
yet to</span><span style="font-size:11.0pt">
<span style="color:#1F497D">be assessed accordingly with the, in time to come,
updated assessment criteria version. </span></span></p>

<p><span style="color:#1F497D"> </span></p>

<p><span style="color:#1F497D">If you allow me, I take the
opportunity to challenge you all again to find the spare cycles to think about
the assessment criteria itself - <a href="http://www.owasp.org/index.php/Category:OWASP_Project_Assessment_-_Update" target="_blank"><span style="color:#1F497D">http://www.owasp.org/index.php/Category:OWASP_Project_Assessment_-_Update</span></a>
 - until now just one change as been done. </span></p>

<p><span style="color:#1F497D"> </span></p>

<p><span style="color:#1F497D">Thanks,</span></p><div class="im">

<p><span style="color:#1F497D"> </span></p>

<p><span style="color:#1F497D">Paulo Coimbra,</span></p>

<p><span lang="PT" style="color:#1F497D"><a href="https://www.owasp.org/index.php/Main_Page" target="_blank"><span lang="EN-GB">OWASP Project
Manager</span></a></span></p>

<p> </p>

</div><div style="border:none;border-left:solid blue 1.5pt;padding:0cm 0cm 0cm 4.0pt">

<div>

<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm">

<p><b><span lang="EN-US" style="font-size:10.0pt">From:</span></b><span lang="EN-US" style="font-size:10.0pt"> Matt Tesauro [mailto:<a href="mailto:mtesauro@gmail.com" target="_blank">mtesauro@gmail.com</a>] <br>
<b>Sent:</b> segunda-feira, 9 de Março de 2009 14:10<div><div></div><div class="h5"><br>
<b>To:</b> Boberski, Michael [USA]<br>
<b>Cc:</b> Dave Wichers; <a href="mailto:paulo.coimbra@owasp.org" target="_blank">paulo.coimbra@owasp.org</a>;
<a href="mailto:global_tools_and_project_committee@lists.owasp.org" target="_blank">global_tools_and_project_committee@lists.owasp.org</a><br>
<b>Subject:</b> Re: [Global_tools_and_project_committee] [Owasp-board] FW:
REQUESTFOR DECISION/CALL FOR CONTRIBUTIONS TO UPDATE THE ASSESSMENT CRITERIA</div></div></span></p>

</div>

</div><div><div></div><div class="h5">

<p> </p>

<p> </p>

<p>Boberski, Michael [USA] wrote:</p>

<p>&gt; One last thought re &quot;As for downgrading
projects, I think it is a </p>

<p>&gt; necessary&quot;</p>

<p>&gt; </p>

<p>&gt; Would you consider for example legal project now
alpha status, since </p>

<p>&gt; the only update in years has been the one I did for
ASVS?</p>

<p>Definitely not.  Before any downgrade occurs, I&#39;d look at
several factors beyond just pre-dating the assessment criteria:</p>

<p>* non-responsive project lead</p>

<p>* long period of inactivity on the mail list</p>

<p>* reduced relevance due to changing technology</p>

<p>* out of date information</p>

<p> </p>

<p>Considering the fact that I recommended the Legal Annex
where I work on Friday, I&#39;d definitely not consider downgrading it.</p>

<p> </p>

<p>My hope is that the vast majority of projects won&#39;t be in
this situation.  All of last years SoC won&#39;t be.  From my perspective, the
downgrading was only to address the situation of older, unmaintained projects
of reduced relevance.  Hopefully these will be the exception rather then the
rule - a few statistical outliers.</p>

<p> </p>

<p>Actually in preparing for the DHS event on Friday, I
looked up the previous OWASP Live CD (2007) again.  OWASP.org has a page for it
but when you follow the links to download it, the external linked site no
longer hosts any ISOs.  This is a project that should be archived somehow but
not prominently displayed as it would appear to only have historical value.</p>

<p> </p>

<p><a href="http://www.owasp.org/index.php/Category:OWASP_Live_CD_2007_Project" target="_blank">http://www.owasp.org/index.php/Category:OWASP_Live_CD_2007_Project</a></p>

<p> </p>

<p>&gt; </p>

<p>&gt; The answer I would argue is no. The quality of a
tool or document </p>

<p>&gt; doesn&#39;t degrade over time.</p>

<p>Absolutely true in this case.  If we had a hardening
guide for Tomcat 3.x, it would be less relevant now then when created.  I&#39;d
consider moving something like that from Release to Alpha in hopes that a new
project lead would grab it and get it up to date.  That&#39;s why I listed the
factors above - downgrading is much more than assessed or not.</p>

<p> </p>

<p>Thanks for all the great back and forth on this - the
process will be much better off for this dialog.</p>

<p> </p>

<p>-- Matt Tesauro</p>

<p>OWASP Live CD Project Lead</p>

<p><a href="http://www.owasp.org/index.php/Category:OWASP_Live_CD_2008_Project" target="_blank">http://www.owasp.org/index.php/Category:OWASP_Live_CD_2008_Project</a></p>

<p><a href="http://mtesauro.com/livecd/" target="_blank">http://mtesauro.com/livecd/</a>
- Documentation Wiki</p>

<p> </p>

<p>&gt; </p>

<p>&gt; I&#39;ve gone and made some updates over the weekend to
the projects page </p>

<p>&gt; and to ESAPI and ASVS pages, let&#39;s start perhaps
from what is proposed </p>

<p>&gt; there, with the criteria versioning and such.</p>

<p>&gt; </p>

<p>&gt; Best,</p>

<p>&gt; </p>

<p>&gt; Mike B.</p>

<p>&gt;  </p>

<p>&gt; </p>

<p>&gt; -----Original Message-----</p>

<p>&gt; From: Matt Tesauro [mailto:<a href="mailto:mtesauro@gmail.com" target="_blank">mtesauro@gmail.com</a>]</p>

<p>&gt; Sent: Saturday, March 07, 2009 1:53 PM</p>

<p>&gt; To: Boberski, Michael [USA]</p>

<p>&gt; Cc: Dave Wichers; <a href="mailto:paulo.coimbra@owasp.org" target="_blank">paulo.coimbra@owasp.org</a>; </p>

<p>&gt; <a href="mailto:global_tools_and_project_committee@lists.owasp.org" target="_blank">global_tools_and_project_committee@lists.owasp.org</a></p>

<p>&gt; Subject: Re: [Global_tools_and_project_committee]
[Owasp-board] FW:</p>

<p>&gt; REQUESTFOR DECISION/CALL FOR CONTRIBUTIONS TO UPDATE
THE </p>

<p>&gt; ASSESSMENTCRITERIA</p>

<p>&gt; </p>

<p>&gt; Responses inline below:</p>

<p>&gt; </p>

<p>&gt; Boberski, Michael [USA] wrote:</p>

<p>&gt;&gt; Team, OWASP is getting overly bureaucratic, it
seems to me.</p>

<p>&gt; Trust me I hate bureaucracy.  This is about
providing a process to </p>

<p>&gt; gauge quality.  The proposal represents a large,
one-time effort plus </p>

<p>&gt; small efforts going forward.  If OWASP wants
quality, there is work to </p>

<p>&gt; be done and a time frame to do it in.  We&#39;re trying
to get the bulk </p>

<p>&gt; done upfront and provide a means to never again
accumulate a backlog of work.</p>

<p>&gt; </p>

<p>&gt;&gt;  </p>

<p>&gt;&gt; I&#39;d rather see people putting time/energy into
tightening up their </p>

<p>&gt;&gt; project pages, tools, and project
presentations/datasheets. An </p>

<p>&gt;&gt; example</p>

<p>&gt; </p>

<p>&gt;&gt; are PHP and .NET ESAPI, there&#39;s no published
mapping of Java ESAPI to </p>

<p>&gt;&gt; PHP/ESAPI, that also should then identify which
interfaces are being </p>

<p>&gt;&gt; targeted for which releases. I&#39;m going to try to
work with Andrew to</p>

<p>&gt; fix</p>

<p>&gt;&gt; that problem for PHP since I may have a need for
a PHP ESAPI for a </p>

<p>&gt;&gt; customer engagement, but it&#39;s still a good
example.</p>

<p>&gt; Under the assessment criteria, there are incentives
to do this work.  </p>

<p>&gt; If</p>

<p>&gt; </p>

<p>&gt;   a project is Beta and wants to be Release, these
are the types of </p>

<p>&gt; things that need to happen.  Release project =
prominence, </p>

<p>&gt; particularly on the project page.  If you want these
things done, how </p>

<p>&gt; better then provide a clear incentive for the
project leads?</p>

<p>&gt; </p>

<p>&gt;&gt;  </p>

<p>&gt;&gt; The more complete and professional a
page/doc/tool looks, the easier</p>

<p>&gt; it</p>

<p>&gt;&gt; is to identify the status and content of a doc/tool,
the easier is to </p>

<p>&gt;&gt; figure out its usefulness and to promote its
adoption. That a </p>

<p>&gt;&gt; doc/tool</p>

<p>&gt; </p>

<p>&gt;&gt; has correct content or works is taken as a
given, that is completely </p>

<p>&gt;&gt; secondary to the initial figuring out if a
doc/tool is a potential </p>

<p>&gt;&gt; solution to one&#39;s problem of the day.</p>

<p>&gt; I&#39;d suggest that the process we&#39;re proposing will
get you there.  One </p>

<p>&gt; aspect of looking professional is consistency.  The
criteria and </p>

<p>&gt; project</p>

<p>&gt; </p>

<p>&gt; page requirements are aimed an getting that
consistent representation </p>

<p>&gt; while allowing a project to further explain its
relevance to its </p>

<p>&gt; target audience.  That&#39;s why we&#39;re shooting for a
standard frame + </p>

<p>&gt; whatever else the project wants/needs.</p>

<p>&gt; </p>

<p>&gt; As for &quot;correct content or works is taken as a
given&quot;, I&#39;d ask for </p>

<p>&gt; what project and what categorization?  Can this be
said for an Alpha project?</p>

<p>&gt; </p>

<p>&gt;   Beta or Release?  How about the many non-assessed
projects?  Once we </p>

<p>&gt; have all projects assessed, statements like that can
be made with </p>

<p>&gt; certainty.</p>

<p>&gt; </p>

<p>&gt; I know I actually liked the fact that I could read
the assessment </p>

<p>&gt; criteria and know explicitly where my project would
fall based on how </p>

<p>&gt; I fulfilled the listed criteria.  I have N things to
do in Y time and </p>

<p>&gt; I can plan according to make the SoC deadline with
the quality rating </p>

<p>&gt; I&#39;m shooting for.  No guessing.</p>

<p>&gt; </p>

<p>&gt;&gt;  </p>

<p>&gt;&gt; I would also caution against downgrading
projects, which is what one</p>

<p>&gt; of</p>

<p>&gt;&gt; the comments seems to imply could happen. If you
must address some </p>

<p>&gt;&gt; perceived contention over project assessment
criteria, you should</p>

<p>&gt; simply</p>

<p>&gt;&gt; put dates against ratings, and identify the
criteria version that a </p>

<p>&gt;&gt; project was assessed against, then leave that
rating alone as the </p>

<p>&gt;&gt; criteria continues to evolve over time. That is
what more </p>

<p>&gt;&gt; well-established and formal testing programs for
instance like Common </p>

<p>&gt;&gt; Criteria and FIPS 140 do. I hope I am misreading
comments on this</p>

<p>&gt; point</p>

<p>&gt;&gt; however.</p>

<p>&gt; I really like the idea of dating the assessment
ratings.  Please join </p>

<p>&gt; the discussion and add those to the page Paulo has
created.  That&#39;s </p>

<p>&gt; fantastic stuff and why we&#39;ve posed this to the
collective </p>

<p>&gt; intelligence of OWASP.</p>

<p>&gt; <a href="http://www.owasp.org/index.php/Category:OWASP_Project_Assessment_-_Upd" target="_blank">http://www.owasp.org/index.php/Category:OWASP_Project_Assessment_-_Upd</a></p>

<p>&gt; at</p>

<p>&gt; e</p>

<p>&gt; </p>

<p>&gt; As for downgrading projects, I think it is a
necessary thing to </p>

<p>&gt; determine projects that are dormant, abandoned or
otherwise moribund.  </p>

<p>&gt; I</p>

<p>&gt; </p>

<p>&gt; personally would like to start an
&quot;archive&quot; &quot;deprecated&quot; or similar </p>

<p>&gt; location for projects that aren&#39;t actively developed
and/or no longer </p>

<p>&gt; timely (think PHP 3 coding guidelines) but may still
have value.  </p>

<p>&gt; Also, those abandoned but potentially useful
projects could become SoC </p>

<p>&gt; projects so their quality will improve.</p>

<p>&gt; </p>

<p>&gt; Finally, by engaging the project leads, OWASP could
also find projects </p>

<p>&gt; were the lead no longer wants or can be the
maintainer.  Identifying </p>

<p>&gt; those projects would allow someone else to take up
that project and </p>

<p>&gt; move</p>

<p>&gt; </p>

<p>&gt; it forward.</p>

<p>&gt; </p>

<p>&gt; -- Matt Tesauro</p>

<p>&gt; OWASP Live CD Project Lead</p>

<p>&gt; <a href="http://www.owasp.org/index.php/Category:OWASP_Live_CD_2008_Project" target="_blank">http://www.owasp.org/index.php/Category:OWASP_Live_CD_2008_Project</a></p>

<p>&gt; <a href="http://mtesauro.com/livecd/" target="_blank">http://mtesauro.com/livecd/</a>
- Documentation Wiki</p>

<p>&gt; </p>

<p>&gt;&gt;  </p>

<p>&gt;&gt; Best,</p>

<p>&gt;&gt;  </p>

<p>&gt;&gt; Mike B.</p>

<p>&gt;&gt;  </p>

<p>&gt;&gt;  </p>

<p>&gt;&gt; </p>

<p>&gt;&gt; </p>

<p>&gt;
----------------------------------------------------------------------</p>

<p>&gt; --</p>

<p>&gt;&gt; *From:* <a href="mailto:global_tools_and_project_committee-bounces@lists.owasp.org" target="_blank">global_tools_and_project_committee-bounces@lists.owasp.org</a></p>

<p>&gt;&gt; <a href="mailto:[mailto:global_tools_and_project_committee-bounces@lists.owasp.org]" target="_blank">[mailto:global_tools_and_project_committee-bounces@lists.owasp.org]</a></p>

<p>&gt; *On</p>

<p>&gt;&gt; Behalf Of *Dave Wichers</p>

<p>&gt;&gt; *Sent:* Wednesday, March 04, 2009 5:34 PM</p>

<p>&gt;&gt; *To:* <a href="mailto:paulo.coimbra@owasp.org" target="_blank">paulo.coimbra@owasp.org</a>;
&#39;OWASP Foundation Board List&#39;; </p>

<p>&gt;&gt; <a href="mailto:global_tools_and_project_committee@lists.owasp.org" target="_blank">global_tools_and_project_committee@lists.owasp.org</a></p>

<p>&gt;&gt; *Subject:* Re:
[Global_tools_and_project_committee] [Owasp-board] FW: </p>

<p>&gt;&gt; REQUESTFOR DECISION/CALL FOR CONTRIBUTIONS TO
UPDATE THE</p>

<p>&gt; ASSESSMENTCRITERIA</p>

<p>&gt;&gt; I&#39;m OK with this, although I&#39;m not a big fan of
many of the</p>

<p>&gt; suggestions</p>

<p>&gt;&gt; below. But that&#39;s OK. Lets get the ideas out
there and we can then</p>

<p>&gt; make</p>

<p>&gt;&gt; some decisions.</p>

<p>&gt;&gt; </p>

<p>&gt;&gt;  </p>

<p>&gt;&gt; </p>

<p>&gt;&gt; -Dave</p>

<p>&gt;&gt; </p>

<p>&gt;&gt;  </p>

<p>&gt;&gt; </p>

<p>&gt;&gt; *From:* <a href="mailto:owasp-board-bounces@lists.owasp.org" target="_blank">owasp-board-bounces@lists.owasp.org</a></p>

<p>&gt;&gt; <a href="mailto:[mailto:owasp-board-bounces@lists.owasp.org]" target="_blank">[mailto:owasp-board-bounces@lists.owasp.org]</a>
*On Behalf Of *Paulo</p>

<p>&gt; Coimbra</p>

<p>&gt;&gt; *Sent:* Wednesday, March 04, 2009 11:25 AM</p>

<p>&gt;&gt; *To:* &#39;OWASP Foundation Board List&#39;; </p>

<p>&gt;&gt; <a href="mailto:global_tools_and_project_committee@lists.owasp.org" target="_blank">global_tools_and_project_committee@lists.owasp.org</a></p>

<p>&gt;&gt; *Subject:* [Owasp-board] FW: REQUEST FOR
DECISION/CALL FOR</p>

<p>&gt; CONTRIBUTIONS</p>

<p>&gt;&gt; TO UPDATE THE ASSESSMENT CRITERIA</p>

<p>&gt;&gt; *Importance:* High</p>

<p>&gt;&gt; </p>

<p>&gt;&gt;  </p>

<p>&gt;&gt; </p>

<p>&gt;&gt; Board, Project&#39;s Committee,</p>

<p>&gt;&gt; </p>

<p>&gt;&gt;  </p>

<p>&gt;&gt; </p>

<p>&gt;&gt; In consequence of the comments received in the
last Committee </p>

<p>&gt;&gt; meeting,</p>

<p>&gt; </p>

<p>&gt;&gt; I&#39;ve introduced the changes yellow underlined. 
Please let me know if </p>

<p>&gt;&gt; this email can be sent off.*/ /*</p>

<p>&gt;&gt; </p>

<p>&gt;&gt;  </p>

<p>&gt;&gt; </p>

<p>&gt;&gt; Many thanks, regards,</p>

<p>&gt;&gt; </p>

<p>&gt;&gt;  </p>

<p>&gt;&gt; </p>

<p>&gt;&gt; Paulo</p>

<p>&gt;&gt; </p>

<p>&gt;&gt;  </p>

<p>&gt;&gt; </p>

<p>&gt;&gt;  </p>

<p>&gt;&gt; </p>

<p>&gt;&gt; Hello Leaders,</p>

<p>&gt;&gt; </p>

<p>&gt;&gt;  </p>

<p>&gt;&gt; </p>

<p>&gt;&gt; I hope you are well.</p>

<p>&gt;&gt; </p>

<p>&gt;&gt;  </p>

<p>&gt;&gt; </p>

<p>&gt;&gt; You better than anyone else know that OWASP as
an organization has</p>

<p>&gt; been</p>

<p>&gt;&gt; built by your continuous open contributions both
by defining its </p>

<p>&gt;&gt; mission, organizational structure, rules and
procedures and by </p>

<p>&gt;&gt; leading</p>

<p>&gt; </p>

<p>&gt;&gt; the application security projects that are its
core of activity.</p>

<p>&gt;&gt; </p>

<p>&gt;&gt;  </p>

<p>&gt;&gt; </p>

<p>&gt;&gt; In my today&#39;s call for contributions, procedures
regarding projects </p>

<p>&gt;&gt; development&#39;s stage assessment are the main
issue.</p>

<p>&gt;&gt; </p>

<p>&gt;&gt;  </p>

<p>&gt;&gt; </p>

<p>&gt;&gt; As you may know, a system to evaluate OWASP
projects is already in </p>

<p>&gt;&gt; use</p>

<p>&gt; </p>

<p>&gt;&gt; and actually consists in both a set of criteria </p>

<p>&gt;&gt; <a href="http://www.owasp.org/index.php/Category:OWASP_Project_Assessment" target="_blank">http://www.owasp.org/index.php/Category:OWASP_Project_Assessment</a>
and </p>

<p>&gt;&gt; a</p>

<p>&gt; </p>

<p>&gt;&gt; skeleton/frame to implement it</p>

<p>&gt;&gt; </p>

<p>&gt; <a href="http://www.owasp.org/index.php/OWASP_Live_CD_2008_Project_-_Assessment" target="_blank">http://www.owasp.org/index.php/OWASP_Live_CD_2008_Project_-_Assessment</a></p>

<p>&gt; _F</p>

<p>&gt; rame</p>

<p>&gt;&gt; .</p>

<p>&gt;&gt; </p>

<p>&gt;&gt;  </p>

<p>&gt;&gt; </p>

<p>&gt;&gt; With other few subsequent modifications, this
set of criteria has</p>

<p>&gt; mainly</p>

<p>&gt;&gt; resulted of a vigorous discussion held through
this mailing list</p>

<p>&gt; almost</p>

<p>&gt;&gt; a year ago and since then it has been used in
all newly set up</p>

<p>&gt; projects.</p>

<p>&gt;&gt;  </p>

<p>&gt;&gt; </p>

<p>&gt;&gt; Since then this issue has been discussed
consecutively in several </p>

<p>&gt;&gt; different contexts. In our Summit, for example,
even if we haven&#39;t </p>

<p>&gt;&gt; committed a specific slot of time to deal with
this matter, it has </p>

<p>&gt;&gt; collaterally arisen throughout many project&#39;s
presentations. In </p>

<p>&gt;&gt; addition, I regularly receive from OWASP Board
requests to make </p>

<p>&gt;&gt; modifications, a systemic reflection is being
held within the</p>

<p>&gt; Project&#39;s</p>

<p>&gt;&gt; Committee and, as result of my daily handling of
projects under</p>

<p>&gt; review,</p>

<p>&gt;&gt; I am obtaining some feedback from project
leaders and reviewers.</p>

<p>&gt;&gt; </p>

<p>&gt;&gt;  </p>

<p>&gt;&gt; </p>

<p>&gt;&gt; Overall, the people with whom I&#39;ve discussed
this issue usually say</p>

<p>&gt; that</p>

<p>&gt;&gt; the procedure can be improved and IMHO, even if
I think*/ /*the </p>

<p>&gt;&gt; Assessment Criteria is working and actually has
been of great help,</p>

<p>&gt; they</p>

<p>&gt;&gt; are right.</p>

<p>&gt;&gt; </p>

<p>&gt;&gt;  </p>

<p>&gt;&gt; </p>

<p>&gt;&gt;  From these discussions, I&#39;ve retained that a
handful of criteria </p>

<p>&gt;&gt; have</p>

<p>&gt; </p>

<p>&gt;&gt; been proposed but haven&#39;t been implemented yet
as forthcoming:</p>

<p>&gt;&gt; </p>

<p>&gt;&gt; -          OWASP writing style (Tool
projects/Release Quality),</p>

<p>&gt;&gt; </p>

<p>&gt;&gt; -          Translation (Tools and Documentation/Release
Quality),</p>

<p>&gt;&gt; </p>

<p>&gt;&gt; -          Bi-monthly periodic news (Tools and
Documentation/non </p>

<p>&gt;&gt; specified Quality status),</p>

<p>&gt;&gt; </p>

<p>&gt;&gt; -          5 slide deck for OWASP Boot Camp
project (Tools and </p>

<p>&gt;&gt; Documentation/Beta status),</p>

<p>&gt;&gt; </p>

<p>&gt;&gt; -          Attribution rules (Tools and
Documentation/non specified </p>

<p>&gt;&gt; Quality status),</p>

<p>&gt;&gt; </p>

<p>&gt;&gt; -          Compulsory Project Skeleton/Frame
(Tools and </p>

<p>&gt;&gt; Documentation/all Quality status),</p>

<p>&gt;&gt; </p>

<p>&gt;&gt; -           Reviewer role - addition and
clarification,</p>

<p>&gt;&gt; </p>

<p>&gt;&gt; <a href="http://owaspsoc2008.wordpress.com/2008/07/15/assessment-guidance/" target="_blank">http://owaspsoc2008.wordpress.com/2008/07/15/assessment-guidance/</a></p>

<p>&gt;&gt; </p>

<p>&gt;&gt; -          Mentor role addition and definition.</p>

<p>&gt;&gt; </p>

<p>&gt;&gt; In addition, as far as I am concerned, a few
more structural comments </p>

<p>&gt;&gt; have also been made. Even without pointing out
alternative technical </p>

<p>&gt;&gt; solutions, at least a  couple of them have
questioned the rationale </p>

<p>&gt;&gt; of</p>

<p>&gt; </p>

<p>&gt;&gt; working with tables in wiki text and others have
pointed out the </p>

<p>&gt;&gt; willingness of having a project&#39;s page similar
to, for example, this</p>

<p>&gt; one</p>

<p>&gt;&gt; <a href="http://www.hdiv.org/" target="_blank">http://www.hdiv.org/</a>.</p>

<p>&gt;&gt; </p>

<p>&gt;&gt;  </p>

<p>&gt;&gt; </p>

<p>&gt;&gt; Having said all the above with the intention of
giving you a picture</p>

<p>&gt; of</p>

<p>&gt;&gt; the current situation, I ask for your
contribution so as to update </p>

<p>&gt;&gt; the</p>

<p>&gt; </p>

<p>&gt;&gt; OWASP Assessment Criteria.</p>

<p>&gt;&gt; </p>

<p>&gt;&gt;  </p>

<p>&gt;&gt; </p>

<p>&gt;&gt; In operational terms, I&#39;ve replicated the
Assessment Criteria page</p>

<p>&gt;&gt; </p>

<p>&gt; <a href="http://www.owasp.org/index.php/Category:OWASP_Project_Assessment_-_Upd" target="_blank">http://www.owasp.org/index.php/Category:OWASP_Project_Assessment_-_Upd</a></p>

<p>&gt; at</p>

<p>&gt; e</p>

<p>&gt;&gt; and propose you introduce your changes directly
on it. As soon as we </p>

<p>&gt;&gt; finish the discussion phase, all the
contributions will be moved to</p>

<p>&gt; the</p>

<p>&gt;&gt; original wiki page. With the goal of enhancing
the discussion, I also </p>

<p>&gt;&gt; propose you use this mailing list to inform
which changes are being </p>

<p>&gt;&gt; proposed and the reason or goal for doing so. We
are also building a </p>

<p>&gt;&gt; Google questionnaire to collect your opinions
and contributions and,</p>

<p>&gt; as</p>

<p>&gt;&gt; soon as it is finished, it will be sent off.</p>

<p>&gt;&gt; </p>

<p>&gt;&gt;  </p>

<p>&gt;&gt; </p>

<p>&gt;&gt; Please do have into account that you proposals
can have implications</p>

<p>&gt; in</p>

<p>&gt;&gt; the assessment frame that we are currently using
and, if it happens, </p>

<p>&gt;&gt; please present a compatible solution.</p>

<p>&gt;&gt; </p>

<p>&gt;&gt;  </p>

<p>&gt;&gt; </p>

<p>&gt;&gt; To conclude, I would like to inform you that the
Project&#39;s Committee </p>

<p>&gt;&gt; propose that, as soon as we finish this
discussion, we establish as a </p>

<p>&gt;&gt; rule to apply to all OWASP Projects that the
quality categorization</p>

<p>&gt; must</p>

<p>&gt;&gt; respect the revised assessment criteria which
eventually will mean</p>

<p>&gt; that</p>

<p>&gt;&gt; all projects not assessed under these rules will
be placed under </p>

<p>&gt;&gt; Alpha</p>

<p>&gt; </p>

<p>&gt;&gt; Quality status.</p>

<p>&gt;&gt; </p>

<p>&gt;&gt; */ /*</p>

<p>&gt;&gt; </p>

<p>&gt;&gt; I thank you all in anticipation and look forward
to having your </p>

<p>&gt;&gt; indispensable feedback.</p>

<p>&gt;&gt; </p>

<p>&gt;&gt; Regards,</p>

<p>&gt;&gt; </p>

<p>&gt;&gt;  </p>

<p>&gt;&gt; </p>

<p>&gt;&gt; Paulo Coimbra,</p>

<p>&gt;&gt; </p>

<p>&gt;&gt; OWASP Project Manager &lt;<a href="https://www.owasp.org/index.php/Main_Page" target="_blank">https://www.owasp.org/index.php/Main_Page</a>&gt;</p>

<p>&gt;&gt; </p>

<p>&gt;&gt;  </p>

<p>&gt;&gt; </p>

<p>&gt;&gt; </p>

<p>&gt;&gt; </p>

<p>&gt; ----------------------------------------------------------------------</p>

<p>&gt; --</p>

<p>&gt;&gt; _______________________________________________</p>

<p>&gt;&gt; Global_tools_and_project_committee mailing list </p>

<p>&gt;&gt; <a href="mailto:Global_tools_and_project_committee@lists.owasp.org" target="_blank">Global_tools_and_project_committee@lists.owasp.org</a></p>

<p>&gt;&gt; </p>

<p>&gt; <a href="https://lists.owasp.org/mailman/listinfo/global_tools_and_project_comm" target="_blank">https://lists.owasp.org/mailman/listinfo/global_tools_and_project_comm</a></p>

<p>&gt; it</p>

<p>&gt; tee</p>

</div></div></div>

</div>

</div>


<br>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div>