<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>
<meta http-equiv=Content-Type content="text/html; charset=us-ascii">
<meta name=Generator content="Microsoft Word 12 (filtered medium)">
<style>
<!--
 /* Font Definitions */
 @font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
        {font-family:Consolas;
        panose-1:2 11 6 9 2 2 4 3 2 4;}
 /* Style Definitions */
 p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p.MsoPlainText, li.MsoPlainText, div.MsoPlainText
        {mso-style-priority:99;
        mso-style-link:"Plain Text Char";
        margin:0cm;
        margin-bottom:.0001pt;
        font-size:10.5pt;
        font-family:Consolas;}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
        {mso-style-priority:99;
        mso-style-link:"Balloon Text Char";
        margin:0cm;
        margin-bottom:.0001pt;
        font-size:8.0pt;
        font-family:"Tahoma","sans-serif";}
span.PlainTextChar
        {mso-style-name:"Plain Text Char";
        mso-style-priority:99;
        mso-style-link:"Plain Text";
        font-family:Consolas;}
span.BalloonTextChar
        {mso-style-name:"Balloon Text Char";
        mso-style-priority:99;
        mso-style-link:"Balloon Text";
        font-family:"Tahoma","sans-serif";}
span.EmailStyle21
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page Section1
        {size:612.0pt 792.0pt;
        margin:72.0pt 72.0pt 72.0pt 72.0pt;}
div.Section1
        {page:Section1;}
-->
</style>
<!--[if gte mso 9]><xml>
 <o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
 <o:shapelayout v:ext="edit">
  <o:idmap v:ext="edit" data="1" />
 </o:shapelayout></xml><![endif]-->
</head>

<body lang=EN-GB link=blue vlink=purple>

<div class=Section1>

<p class=MsoNormal><span style='color:#1F497D'>Yiannis,<o:p></o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'>&nbsp;<i>&#8220;Then we have the
self-assessment being required to be filled in under the threat that your
project is being suspended (still have that email somewhere)</i>&#8221;.<i><o:p></o:p></i></span></p>

<p class=MsoNormal><span style='color:#1F497D'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'>Could you please give us more
details? <o:p></o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'>I am relatively new in OWASP but
I have never seen the kind of behaviour you refer. As far as I can understand, OWASP
is an open organization in which threats have no place at all.<o:p></o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'>Thanks,<o:p></o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'><o:p>&nbsp;</o:p></span></p>

<div>

<p class=MsoNormal><span style='color:#1F497D'>Paulo Coimbra,<o:p></o:p></span></p>

<p class=MsoNormal><span lang=PT style='color:#1F497D'><a
href="https://www.owasp.org/index.php/Main_Page"><span lang=EN-GB
style='color:blue'>OWASP Project Manager</span></a></span><span
style='color:#1F497D'><o:p></o:p></span></p>

</div>

<p class=MsoNormal><span style='color:#1F497D'><o:p>&nbsp;</o:p></span></p>

<div style='border:none;border-left:solid blue 1.5pt;padding:0cm 0cm 0cm 4.0pt'>

<div>

<div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm'>

<p class=MsoNormal><b><span lang=EN-US style='font-size:10.0pt;font-family:
"Tahoma","sans-serif"'>From:</span></b><span lang=EN-US style='font-size:10.0pt;
font-family:"Tahoma","sans-serif"'> owasp-leaders-bounces@lists.owasp.org
[mailto:owasp-leaders-bounces@lists.owasp.org] <b>On Behalf Of </b>Yiannis
Pavlosoglou<br>
<b>Sent:</b> quinta-feira, 17 de Setembro de 2009 19:14<br>
<b>To:</b> bradcausey@owasp.org; owasp-leaders@lists.owasp.org<br>
<b>Cc:</b> GPC; OWASP Global Projects Committee<br>
<b>Subject:</b> Re: [Owasp-leaders] Would the real OWASP please stand up!<o:p></o:p></span></p>

</div>

</div>

<p class=MsoNormal><o:p>&nbsp;</o:p></p>

<p class=MsoPlainText>I like your stand Brad, forgive me, you are missing the
point; comments in-line:<o:p></o:p></p>

<p class=MsoPlainText><o:p>&nbsp;</o:p></p>

<p class=MsoPlainText>2009/9/17 Brad Causey &lt;<a
href="mailto:bradcausey@owasp.org">bradcausey@owasp.org</a>&gt;:<o:p></o:p></p>

<p class=MsoPlainText>&gt; This is more directed toward Yiannis,<o:p></o:p></p>

<p class=MsoPlainText>&gt;<o:p>&nbsp;</o:p></p>

<p class=MsoPlainText>&gt; I do realize that the extra work you are being asked
to do seems a bit <o:p></o:p></p>

<p class=MsoPlainText>&gt; of a pain in the ass. You are coder, and therefore
you just want to <o:p></o:p></p>

<p class=MsoPlainText>&gt; make great code and it should be enough that you are
offering your <o:p></o:p></p>

<p class=MsoPlainText>&gt; code to OWASP. How dare us ask you for anything. I
get that.<o:p></o:p></p>

<p class=MsoPlainText><o:p>&nbsp;</o:p></p>

<p class=MsoPlainText>Coder? No; from getting DVDs burned to sending out the
first member packs (with the help of Dinis, Eion and others) there are a lot of
people in this coder category: actually the code that we write is pretty
terrible: OWASP doesn't know what to do with us and classifies folks with the
coder or equivalent tag.<o:p></o:p></p>

<p class=MsoPlainText><o:p>&nbsp;</o:p></p>

<p class=MsoPlainText>This is a wake up call, regardless of labels and tags, in
the process of one of the coders trying to see why things are not getting done,
he picked up a ton of feedback on the same issues not been addressed over and
over again.<o:p></o:p></p>

<p class=MsoPlainText><o:p>&nbsp;</o:p></p>

<p class=MsoPlainText>&gt;<o:p>&nbsp;</o:p></p>

<p class=MsoPlainText>&gt; One of the reasons you are seeing more 'fluff' as of
late is that we <o:p></o:p></p>

<p class=MsoPlainText>&gt; as an organization have identified a few weak points
in our delivery <o:p></o:p></p>

<p class=MsoPlainText>&gt; of said 'great code' or 'great documentation'.<o:p></o:p></p>

<p class=MsoPlainText><o:p>&nbsp;</o:p></p>

<p class=MsoPlainText>So you create a layer above the projects to push for
better documentation. How about the fedora model of &quot;people to do the
documentation are needed?&quot; Typically, great documentation is achieved by
bringing in a layer below that of the software project in question; look at
apache as well as ubuntu and many others.<o:p></o:p></p>

<p class=MsoPlainText><o:p>&nbsp;</o:p></p>

<p class=MsoPlainText>&gt;<o:p>&nbsp;</o:p></p>

<p class=MsoPlainText>&gt; As part of the mission of OWASP, we are trying to
further grow the <o:p></o:p></p>

<p class=MsoPlainText>&gt; awareness of application security. Part of that, is
helping those <o:p></o:p></p>

<p class=MsoPlainText>&gt; folks out there be aware of these projects and why
they are important. <o:p></o:p></p>

<p class=MsoPlainText>&gt; JbroFuzz will get used much more if people know it
exists, have a <o:p></o:p></p>

<p class=MsoPlainText>&gt; reasonable expectation of its current quality, and
have some idea of <o:p></o:p></p>

<p class=MsoPlainText>&gt; what it does. Without these things, what differentiates
us from the 'security' section of sourceforge?<o:p></o:p></p>

<p class=MsoPlainText><o:p>&nbsp;</o:p></p>

<p class=MsoPlainText>I would argue searching for 'fuzzer' on sourceforge is
far better than browsing the owasp site under projects. Who cares if you
clasify it as alpha, beta, or release within OWASP? I can sort by downloads,
popularity, there are some metrics which actually relate to what people like to
use, instead of self-made checklists.<o:p></o:p></p>

<p class=MsoPlainText><o:p>&nbsp;</o:p></p>

<p class=MsoPlainText>So we develop a tutorial section for a tool, to raise its
publicity, spend some money in putting videos together on how to ethically hack
using OWASP tools, but how can I do any of that when I am wasting my time
trying to get through information for documents?<o:p></o:p></p>

<p class=MsoPlainText><o:p>&nbsp;</o:p></p>

<p class=MsoPlainText>And here you have it, a tool constantly ranked within the
first 10000 on sourceforge with 16000 downloads in its lifespan, still alpha
within owasp. Forget JBroFuzz, I do not care about its ranking, but can you see
the problem?<o:p></o:p></p>

<p class=MsoPlainText><o:p>&nbsp;</o:p></p>

<p class=MsoPlainText>&gt;<o:p>&nbsp;</o:p></p>

<p class=MsoPlainText>&gt; I guess what I am saying is that you are confused
about what we expect <o:p></o:p></p>

<p class=MsoPlainText>&gt; from 'project leaders', we expect someone to lead a
project, from every aspect.<o:p></o:p></p>

<p class=MsoPlainText>&gt; If we wanted coders, you'd be called a coder, and
you wouldn't be <o:p></o:p></p>

<p class=MsoPlainText>&gt; posting to the leader's mailing list.<o:p></o:p></p>

<p class=MsoPlainText><o:p>&nbsp;</o:p></p>

<p class=MsoPlainText>You want me to lead? Fine, give me something to lead and
get out the way; instead of increasing the pressure and walking away by providing
templates, assign a couple of folks on the doc side, giving them OWASP exposure
and the pamphlets will be done and dusted in a week.<o:p></o:p></p>

<p class=MsoPlainText><o:p>&nbsp;</o:p></p>

<p class=MsoPlainText>But doing so, while worrying about the commits, updating
the payloads, checking for cross platform issues, really the stuff that matters
takes priority.<o:p></o:p></p>

<p class=MsoPlainText><o:p>&nbsp;</o:p></p>

<p class=MsoPlainText>&gt;<o:p>&nbsp;</o:p></p>

<p class=MsoPlainText>&gt; I'm not attacking you, because I do agree to some
extent with some of <o:p></o:p></p>

<p class=MsoPlainText>&gt; your statements. We do need some checks and balances
on a lot of <o:p></o:p></p>

<p class=MsoPlainText>&gt; things. But lets be real, you've been asked for 3
slides and some <o:p></o:p></p>

<p class=MsoPlainText>&gt; 'fluff' work about your project so we can HELP YOU
promote your great code.<o:p></o:p></p>

<p class=MsoPlainText><o:p>&nbsp;</o:p></p>

<p class=MsoPlainText>I don't take this as an attack; would like to be part of
something that is respected in info-sec, maybe we are wasting a lot of time
away here and there.<o:p></o:p></p>

<p class=MsoPlainText><o:p>&nbsp;</o:p></p>

<p class=MsoPlainText>3 slides and fluff:<o:p></o:p></p>

<p class=MsoPlainText><o:p>&nbsp;</o:p></p>

<p class=MsoPlainText>Last year it was getting the code scanned through Fortify
(try getting that one done while working for Ounce) and having help embedded in
the tool<o:p></o:p></p>

<p class=MsoPlainText><o:p>&nbsp;</o:p></p>

<p class=MsoPlainText>Then we have the self-assessment being required to be
filled in under the threat that your project is being suspended (still have
that email<o:p></o:p></p>

<p class=MsoPlainText>somewhere)<o:p></o:p></p>

<p class=MsoPlainText><o:p>&nbsp;</o:p></p>

<p class=MsoPlainText>Now in recent months, don't know why, we have 2 different
roadmaps, plus Paulo having to go away and update 'fluff' in every release.<o:p></o:p></p>

<p class=MsoPlainText><o:p>&nbsp;</o:p></p>

<p class=MsoPlainText>How come and sourceforge just picks it up from the
subversion commits?<o:p></o:p></p>

<p class=MsoPlainText><o:p>&nbsp;</o:p></p>

<p class=MsoPlainText>Keep it alpha, remove it (I am flirting with the idea)
from the website, pick one of the decks that I have previously used for
presentations, but please, no more requests on fluff!<o:p></o:p></p>

<p class=MsoPlainText><o:p>&nbsp;</o:p></p>

<p class=MsoPlainText>There is always one more step; whenever someone offers
anything healthy within OWASP, other folk try to bolt on top anything they can
get away with. So what's going to be the requirement next
month/year/version_2.1?<o:p></o:p></p>

<p class=MsoPlainText><o:p>&nbsp;</o:p></p>

<p class=MsoPlainText>&gt;<o:p>&nbsp;</o:p></p>

<p class=MsoPlainText>&gt; If I missed something, please let me know.<o:p></o:p></p>

<p class=MsoPlainText>&gt;<o:p>&nbsp;</o:p></p>

<p class=MsoPlainText>&gt;<o:p>&nbsp;</o:p></p>

<p class=MsoPlainText>&gt;<o:p>&nbsp;</o:p></p>

<p class=MsoPlainText>&gt;<o:p>&nbsp;</o:p></p>

<p class=MsoPlainText>&gt; -Brad Causey<o:p></o:p></p>

<p class=MsoPlainText>&gt; CISSP, MCSE, C|EH, CIFI, CGSP<o:p></o:p></p>

<p class=MsoPlainText>&gt;<o:p>&nbsp;</o:p></p>

<p class=MsoPlainText>&gt; <a href="http://www.owasp.org">http://www.owasp.org</a><o:p></o:p></p>

<p class=MsoPlainText>&gt; --<o:p></o:p></p>

<p class=MsoPlainText>&gt; Never underestimate the time, expense, and effort an
opponent will <o:p></o:p></p>

<p class=MsoPlainText>&gt; expend to break a code. (Robert Morris)<o:p></o:p></p>

<p class=MsoPlainText>&gt; --<o:p></o:p></p>

<p class=MsoPlainText>&gt;<o:p>&nbsp;</o:p></p>

<p class=MsoPlainText>&gt;<o:p>&nbsp;</o:p></p>

<p class=MsoPlainText>&gt; On Thu, Sep 17, 2009 at 11:00 AM, McGovern, James F
(HTSC, IT) <o:p></o:p></p>

<p class=MsoPlainText>&gt; &lt;<a href="mailto:James.McGovern@thehartford.com">James.McGovern@thehartford.com</a>&gt;
wrote:<o:p></o:p></p>

<p class=MsoPlainText>&gt;&gt;<o:p>&nbsp;</o:p></p>

<p class=MsoPlainText>&gt;&gt; &nbsp;My thoughts inline<o:p></o:p></p>

<p class=MsoPlainText>&gt;&gt;<o:p>&nbsp;</o:p></p>

<p class=MsoPlainText>&gt;&gt; -----Original Message-----<o:p></o:p></p>

<p class=MsoPlainText>&gt;&gt; From: owasp-leaders-bounces@lists.owasp.org<o:p></o:p></p>

<p class=MsoPlainText>&gt;&gt; [mailto:owasp-leaders-bounces@lists.owasp.org]
On Behalf Of Yiannis <o:p></o:p></p>

<p class=MsoPlainText>&gt;&gt; Pavlosoglou<o:p></o:p></p>

<p class=MsoPlainText>&gt;&gt; Sent: Thursday, September 17, 2009 11:41 AM<o:p></o:p></p>

<p class=MsoPlainText>&gt;&gt; To: owasp-leaders@lists.owasp.org<o:p></o:p></p>

<p class=MsoPlainText>&gt;&gt; Subject: [Owasp-leaders] Would the real OWASP
please stand up!<o:p></o:p></p>

<p class=MsoPlainText>&gt;&gt;<o:p>&nbsp;</o:p></p>

<p class=MsoPlainText>&gt;&gt; * You turn up to any other security meeting, you
don't even mention <o:p></o:p></p>

<p class=MsoPlainText>&gt;&gt; the acronym without getting looked badly upon<o:p></o:p></p>

<p class=MsoPlainText>&gt;&gt;<o:p>&nbsp;</o:p></p>

<p class=MsoPlainText>&gt;&gt; [JFM] OWASP takes the high road and has lots of
integrity in its <o:p></o:p></p>

<p class=MsoPlainText>&gt;&gt; approach. This has the side effect of torquing
those who have less <o:p></o:p></p>

<p class=MsoPlainText>&gt;&gt; values.<o:p></o:p></p>

<p class=MsoPlainText>&gt;&gt;<o:p>&nbsp;</o:p></p>

<p class=MsoPlainText>&gt;&gt; * People actually tell me that they avoid going to
particular chapter <o:p></o:p></p>

<p class=MsoPlainText>&gt;&gt; meetings, because they are sick and tired of
presenters implicitly <o:p></o:p></p>

<p class=MsoPlainText>&gt;&gt; trying to sell their own company/service/tool<o:p></o:p></p>

<p class=MsoPlainText>&gt;&gt;<o:p>&nbsp;</o:p></p>

<p class=MsoPlainText>&gt;&gt; [JFM] This says that OWASP needs needs to figure
out a method of <o:p></o:p></p>

<p class=MsoPlainText>&gt;&gt; diversifying its chapter leaders. I can say that
I have never <o:p></o:p></p>

<p class=MsoPlainText>&gt;&gt; attempted to sell annuities at the Hartford
chapter meeting :-)<o:p></o:p></p>

<p class=MsoPlainText>&gt;&gt;<o:p>&nbsp;</o:p></p>

<p class=MsoPlainText>&gt;&gt; * Chapter leaders do not want to go their own
folks and ask for <o:p></o:p></p>

<p class=MsoPlainText>&gt;&gt; donations; people that they have been together
with from the <o:p></o:p></p>

<p class=MsoPlainText>&gt;&gt; beginning of their security careers<o:p></o:p></p>

<p class=MsoPlainText>&gt;&gt;<o:p>&nbsp;</o:p></p>

<p class=MsoPlainText>&gt;&gt; [JFM] I think many of us feel that way. I only
have enough courage to <o:p></o:p></p>

<p class=MsoPlainText>&gt;&gt; ask for donations of those who hit me up for the
same. Think Girl <o:p></o:p></p>

<p class=MsoPlainText>&gt;&gt; Scout cookies, Lance Armstrong bracelets, etc<o:p></o:p></p>

<p class=MsoPlainText>&gt;&gt;<o:p>&nbsp;</o:p></p>

<p class=MsoPlainText>&gt;&gt; * You want a marketing department? Go hire one!
The time that it <o:p></o:p></p>

<p class=MsoPlainText>&gt;&gt; takes me to add double encoding payloads for
sharepoint into JBroFuzz <o:p></o:p></p>

<p class=MsoPlainText>&gt;&gt; is the time wasted on self assessment criteria.
Project leader's ego <o:p></o:p></p>

<p class=MsoPlainText>&gt;&gt; aside, which one is better?<o:p></o:p></p>

<p class=MsoPlainText>&gt;&gt;<o:p>&nbsp;</o:p></p>

<p class=MsoPlainText>&gt;&gt; [JFM] Expecting a bunch of techies to do
marketing at best will <o:p></o:p></p>

<p class=MsoPlainText>&gt;&gt; result in mediocrity. We should revive the
notion of a separate OWASP <o:p></o:p></p>

<p class=MsoPlainText>&gt;&gt; PR project :-)<o:p></o:p></p>

<p class=MsoPlainText>&gt;&gt;<o:p>&nbsp;</o:p></p>

<p class=MsoPlainText>&gt;&gt;
************************************************************<o:p></o:p></p>

<p class=MsoPlainText>&gt;&gt; This communication, including attachments, is
for the exclusive use <o:p></o:p></p>

<p class=MsoPlainText>&gt;&gt; of addressee and may contain proprietary,
confidential and/or <o:p></o:p></p>

<p class=MsoPlainText>&gt;&gt; privileged information. &nbsp;If you are not the
intended recipient, any <o:p></o:p></p>

<p class=MsoPlainText>&gt;&gt; use, copying, disclosure, dissemination or
distribution is strictly <o:p></o:p></p>

<p class=MsoPlainText>&gt;&gt; prohibited. &nbsp;If you are not the intended
recipient, please notify the <o:p></o:p></p>

<p class=MsoPlainText>&gt;&gt; sender immediately by return e-mail, delete this
communication and destroy all copies.<o:p></o:p></p>

<p class=MsoPlainText>&gt;&gt;
************************************************************<o:p></o:p></p>

<p class=MsoPlainText>&gt;&gt;<o:p>&nbsp;</o:p></p>

<p class=MsoPlainText>&gt;&gt; _______________________________________________<o:p></o:p></p>

<p class=MsoPlainText>&gt;&gt; OWASP-Leaders mailing list<o:p></o:p></p>

<p class=MsoPlainText>&gt;&gt; <a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><o:p></o:p></p>

<p class=MsoPlainText>&gt;&gt; <a
href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><o:p></o:p></p>

<p class=MsoPlainText>&gt;<o:p>&nbsp;</o:p></p>

<p class=MsoPlainText>&gt;<o:p>&nbsp;</o:p></p>

<p class=MsoPlainText>&gt; _______________________________________________<o:p></o:p></p>

<p class=MsoPlainText>&gt; OWASP-Leaders mailing list<o:p></o:p></p>

<p class=MsoPlainText>&gt; <a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><o:p></o:p></p>

<p class=MsoPlainText>&gt; <a
href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><o:p></o:p></p>

<p class=MsoPlainText>&gt;<o:p>&nbsp;</o:p></p>

<p class=MsoPlainText>&gt;<o:p>&nbsp;</o:p></p>

<p class=MsoPlainText>_______________________________________________<o:p></o:p></p>

<p class=MsoPlainText>OWASP-Leaders mailing list<o:p></o:p></p>

<p class=MsoPlainText><a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><o:p></o:p></p>

<p class=MsoPlainText><a
href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><o:p></o:p></p>

</div>

</div>

</body>

</html>