<HTML dir=ltr><HEAD></HEAD>
<BODY>
<DIV id=idOWAReplyText61816 dir=ltr>
<DIV dir=ltr><FONT face=Arial color=#000000 size=2>Matt and Pravir</FONT></DIV></DIV>
<DIV dir=ltr>
<DIV id=idOWAReplyText95336 dir=ltr>
<DIV dir=ltr><FONT face=Arial color=#000000 size=2></FONT>&nbsp;</DIV>
<DIV dir=ltr><FONT face=Arial color=#000000 size=2>I think the "umbrella" or "concentrator" project figure might be defined, either as : </FONT></DIV>
<DIV dir=ltr><FONT face=Arial color=#000000 size=2>1) Categories (anyway current projects are categories in MediaWiki). Ther would be a&nbsp;category&nbsp;for ESAPI and a project for each implementation. Or</FONT></DIV>
<DIV dir=ltr><FONT face=Arial color=#000000 size=2>2) ESAPI will be the project and technology specific implementations would be treated as flavors or releases but under the existent project, not as individual projects. </FONT>I guess this model is not really good for they way OWASP currently works on having anyone participate.</DIV>
<DIV dir=ltr>&nbsp;</DIV>
<DIV dir=ltr><FONT face=Arial size=2>I agree with Jeff that Internationalization and Language projects might be considered "Infrastructure" or I would say "staff" projects (maintenace of Wiki should be a project don't you think?). </FONT></DIV>
<DIV dir=ltr><FONT face=Arial size=2></FONT>&nbsp;</DIV>
<DIV dir=ltr><FONT face=Arial size=2>So we have 2 more "Project Types"?, concentrator and staff?.</FONT></DIV>
<DIV dir=ltr><FONT face=Arial size=2></FONT>&nbsp;</DIV>
<DIV dir=ltr><FONT face=Arial size=2>Regards,</FONT></DIV></DIV>
<DIV id=idSignature43279>
<DIV><FONT face=Arial color=#000080><STRONG>Juan Carlos </STRONG></FONT></DIV></DIV>
<DIV dir=ltr><BR>-----Original Message-----<BR>From: owasp-leaders-bounces@lists.owasp.org<BR>[mailto:owasp-leaders-bounces@lists.owasp.org] On Behalf Of Matt Tesauro<BR>Sent: Lunes, 02 de Noviembre de 2009 02:58 p.m.<BR>To: owasp-leaders@lists.owasp.org<BR>Subject: Re: [Owasp-leaders] RFC: Assessment Criteria v2 in pictures<BR><BR>Juan - sorry for the delayed reply.&nbsp; AppSec Brazil kept me busy last<BR>week.<BR><BR>When I was drafting the Acceptance Criteria (ACv2), I realized that<BR>there would be some projects that don't fall easily into either the<BR>'tools' or 'documentation' buckets.&nbsp; To handle this situation, I created<BR>a third category called "Research and Activities"<BR><BR>http://www.owasp.org/index.php/Research_and_Activities_Criteria<BR><BR>For these projects, we talked about using a subset of both the<BR>documentation &amp; tool assessment criteria to evaluate those project's<BR>releases.&nbsp; What that subset was would be determined by the project in<BR>question.&nbsp; Hopefully, for things like translation, we can use the first<BR>language's project as a template for any other languages that follow.<BR><BR>My thinking was that it was better to have this category and sort those<BR>out on a case-by-case basis then try and make ACv2 abstract enough to<BR>handle all situations.&nbsp; OWASP ESAPI is another example of a project in<BR>this category - an umbrella project to be specific.<BR><BR>However, the above is all about project _releases_.&nbsp; The level business<BR>is about project health. We've not worked out the details for project<BR>health:<BR>http://www.owasp.org/index.php/Assessing_Project_Health<BR>and that is still in 'draft' status.&nbsp; However, with input like yours,<BR>we're much more likely to handle the _all_ projects so thanks for<BR>raising the concerns below.<BR><BR>Hope that helps clarify what the GPC was thinking.&nbsp; If I've left<BR>something out or missed something, please let me know.<BR><BR>-<BR>-- Matt Tesauro<BR>OWASP Live CD Project Lead<BR>http://www.owasp.org/index.php/Category:OWASP_Live_CD_Project<BR>http://AppSecLive.org - Community and Download site<BR><BR><BR>On Fri, 2009-10-30 at 17:07 -0400, Calderon, Juan Carlos (GE, Corporate,<BR>consultant) wrote:<BR>&gt; I have a few doubts on the applicability of the criteria for <BR>&gt; "multi-deliverable" or no deliverable (like language) projects as this<BR><BR>&gt; is the type of project I am leading. I hope you can help me understand<BR><BR>&gt; how I could promote them to level 3.<BR>&gt;&nbsp; <BR>&gt; Example 1: Classic ASP Security Project, We have 2 major deliverables,<BR>&gt; 1) Stinger Project ver 1.0 that is release level as it is auto <BR>&gt; documented and include examples in downloadable file. and ESAPI for <BR>&gt; classic ASP that is Beta level, lacks documentation and has some well <BR>&gt; know issues in Windows XP. What would be the level applicable for this<BR><BR>&gt; project, the lowest? if so by removing ESAPI for Classic ASP it will <BR>&gt; automatically reach level 2 due to Stinger?.<BR>&gt;&nbsp; <BR>&gt; Example 2: Spanish Internationalization project. There is no external <BR>&gt; deliverables, no book, no document, no tool. But only guidelines and <BR>&gt; advice on creating language projects for OWASP, there is no intention <BR>&gt; of making the documents impact the industry, would this be a forever <BR>&gt; level 1 project?.<BR>&gt;&nbsp; <BR>&gt; Regards,<BR>&gt; Juan Carlos<BR>&gt; <BR>&gt; <BR>&gt; ______________________________________________________________________<BR>&gt; From: owasp-leaders-bounces@lists.owasp.org<BR>&gt; [mailto:owasp-leaders-bounces@lists.owasp.org] On Behalf Of Pravir <BR>&gt; Chandra<BR>&gt; Sent: Viernes, 30 de Octubre de 2009 12:16 p.m.<BR>&gt; To: owasp-leaders@lists.owasp.org<BR>&gt; Subject: [Owasp-leaders] RFC: Assessment Criteria v2 in pictures<BR>&gt; <BR>&gt; <BR>&gt; <BR>&gt; Hey Everyone. <BR>&gt; <BR>&gt; <BR>&gt; The Global Projects Committee had established version 2 of the <BR>&gt; Assessment Criteria awhile back, but there was still a lot of <BR>&gt; confusion about what we were asking for at various stages and what it <BR>&gt; all meant. I can personally assure everyone that we're trying our best<BR><BR>&gt; to NOT make a confusing bureaucratic process, but the perception might<BR><BR>&gt; have been that way in the past.<BR>&gt; <BR>&gt; <BR>&gt; So, to try to help address this problem, myself and the GPC put <BR>&gt; together some diagrams to reflect the requirements of the new <BR>&gt; assessment criteria. They're attached... as much as I hate to spam <BR>&gt; graphic attachments to everyone, I'm doing it anyway since it's more <BR>&gt; likely you'll look at them if it's less clicks :)<BR>&gt; <BR>&gt; <BR>&gt; Take a look at the "Summary" one first. We would love to hear your <BR>&gt; feedback on these. Namely,<BR>&gt;&nbsp; * Is it clear how we are separating a project's rating from the <BR>&gt; individual releases the project makes? If not, what is confusing?<BR>&gt;&nbsp; * Do you understand what is required to advance a project's rating?<BR>&gt; If not, what's missing?<BR>&gt;&nbsp; * Do you know how to apply the release criteria to your project? Is <BR>&gt; the review process for alpha/beta/stable clear? If not, why?<BR>&gt; <BR>&gt; <BR>&gt; We ultimately want to have a clarifying wiki page for each 'box' on <BR>&gt; the Project Criteria and Release Criteria diagram, but we thought we'd<BR><BR>&gt; get this out to the leaders list to get your insight on improvements <BR>&gt; first.<BR>&gt; <BR>&gt; <BR>&gt; Thanks, and we hope to hear back! (you can just reply to this list and<BR><BR>&gt; not bother CC'ing the GPC list since we're all on this one too)<BR>&gt; <BR>&gt; <BR>&gt; p.<BR>&gt; _______________________________________________<BR>&gt; OWASP-Leaders mailing list<BR>&gt; OWASP-Leaders@lists.owasp.org<BR>&gt; https://lists.owasp.org/mailman/listinfo/owasp-leaders<BR><BR>_______________________________________________<BR>OWASP-Leaders mailing list<BR>OWASP-Leaders@lists.owasp.org<BR>https://lists.owasp.org/mailman/listinfo/owasp-leaders<BR></DIV></DIV></BODY></HTML>