Each tab (all five) include in bold italic at the top of each tab that OWASP does not endorse and so on.<div><br></div><div>This is exactly inline with OWASP&#39;s mission to help people do informed things.<br><div><br></div>

<div>Mike<br>
<br><br><div class="gmail_quote">On Thu, May 13, 2010 at 8:10 PM, Brian Bertacini <span dir="ltr">&lt;<a href="mailto:brian@appsecconsulting.com">brian@appsecconsulting.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">





<div>
<div dir="ltr" align="left"><span><font face="Arial" color="#0000ff" size="2">Hi Dinis,</font></span></div>
<div dir="ltr" align="left"><span><font face="Arial" color="#0000ff" size="2"></font></span> </div>
<div dir="ltr" align="left"><span></span><font face="Arial" color="#0000ff" size="2"><span>Some of the scenarios below 
create an appearance where OWASP will be viewed as a commercial 
organization (just look at the name).  </span></font></div>
<div dir="ltr" align="left"><font face="Arial" color="#0000ff" size="2"><span></span></font> </div>
<div dir="ltr" align="left"><font face="Arial" color="#0000ff" size="2"><span>Your proposal sounds like the PCI-SSC; collecting 
money to manage and certify service providers.  The PCI-SSC has 
implemented a quality assurance program and places service providers in a 
&quot;Remediation Status&quot; for failing to meet defined quality standards.  Will 
OWASP be ready to hire full time QA Analysts to police the Commercial 
Services program?  This might be necessary to ensure consistent 
and high-quality service delivery to protect the OWASP 
brand.  If I understand most of the scenarios below, there is a 
requirement for commercial organizations to pay OWASP an 
annual sponsorship/membership fee.  Like PCI, the annual 
fee is a bigger burden for smaller service providers.  I could go 
on but I think you get the point.  </span></font></div>
<div dir="ltr" align="left"><font face="Arial" color="#0000ff" size="2"><span></span></font> </div>
<div dir="ltr" align="left"><font face="Arial" color="#0000ff" size="2"><span>Personally I like the concept of OWASP Commercial 
Services.  As a risk management and information security professional 
I&#39;m concerned about risk this introduces to the OWASP 
brand.  </span></font></div>
<div dir="ltr" align="left"><font face="Arial" color="#0000ff" size="2"><span></span></font> </div>
<div dir="ltr" align="left"><font face="Arial" color="#0000ff" size="2"><span>My $.02,</span></font></div>
<div dir="ltr" align="left"><font face="Arial" color="#0000ff" size="2"><span>Brian Bertacini</span></font><font face="Arial" color="#0000ff" size="2"><span>    </span></font></div>
<div dir="ltr" align="left"><font face="Arial" color="#0000ff" size="2"><span>Bay Area OWASP Chapter</span></font></div><br>
<div lang="en-us" dir="ltr" align="left">
<hr>
<font face="Tahoma" size="2"><b>From:</b> <a href="mailto:owasp-leaders-bounces@lists.owasp.org" target="_blank">owasp-leaders-bounces@lists.owasp.org</a> 
[mailto:<a href="mailto:owasp-leaders-bounces@lists.owasp.org" target="_blank">owasp-leaders-bounces@lists.owasp.org</a>] <b>On Behalf Of </b>dinis 
cruz<br><b>Sent:</b> Thursday, May 13, 2010 4:06 PM<br><b>To:</b> 
<a href="mailto:owasp-leaders@lists.owasp.org" target="_blank">owasp-leaders@lists.owasp.org</a><br><b>Cc:</b> owasp-connections-committee; 
<a href="mailto:global_education_committee@lists.owasp.org" target="_blank">global_education_committee@lists.owasp.org</a><br><b>Subject:</b> [Owasp-leaders] 
Commercial delivery of courses based on OWASPmaterials<br></font><br></div><div><div></div><div class="h5">
<div></div>Hi OWASP Leaders (CCing OWASP Global Education Committee, OWASP 
Connections Committee and Mike Boberski (who is trying to figure out the best 
way to implement the <a href="http://www.owasp.org/index.php/Commercial_Services" target="_blank">OWASP Commercial 
Services</a> idea))
<div><br></div>
<div>Question for you. </div>
<div><br></div>
<div>Given the following scenario:
<div><br></div>
<div>&quot;...</div>
<div><i>Company XYZ is delivering commercially (i.e. paid for) 
 OWASP related courses, such as for example: &quot;OWASP Top 10&quot;, &quot;Using OWASP 
WebGoat&quot;, &quot;Performing security assessments using the OWASP Testing Guide&quot; , &quot;How 
to use OpenSAMM in your organization&quot;, &quot;OWASP ESAPI&quot; , &quot;OWASP ASVS&quot;, etc... 
  <br><br></i></div>
<div><i> - these courses are independently delivered at &quot;NON 
OWASP organized&quot; events (for example a developer&#39;s Conference or 
bespoke training sessions)</i></div>
<div><i> - attendees have to pay to attend (i.e. these are <span style="font-style:normal"><i>NOT FREE or &#39;OWASP only&#39; 
events like the one we <a href="http://www.owasp.org/index.php/London/Training/OWASP_projects_and_resources_you_can_use_TODAY" target="_blank">organized 
and delivered at the OWASP London Chapter</a> last month) <span style="font-style:normal"><i> </i></span></i></span></i></div>
<div><i> - there is no mandatory direct financial return for OWASP 
(any payments back to OWASP (<span style="font-style:normal"><i>if any at all) <span style="font-style:normal"><i>would have to be made at 
the discretion of 
the organizing party)</i></span></i></span></i></div>
<div><i><br></i></div>
<div><i>...&quot;</i></div>
<div><i><br></i></div>
<div><i><span style="font-style:normal">Given that a 
large part of the potential (paying) audience for these courses is part of 
the <i><span style="font-style:normal">existing 
 <i><span style="font-style:normal">OWASP 
community, namely the OWASP Mailing lists and WIKI viewers, 
the organizing party would be 
very interested to advertise to target OWASP project the 
course details (curriculum, trainer, delivery date, price, location, 
etc...)</span></i></span></i></span></i></div>
<div><i><span style="font-style:normal"><br></span></i></div>
<div><i><span style="font-style:normal">Since this is a 
new area for OWASP, we have to make sure we handle this in a way that is 
accepted/respected by our leaders and community.</span></i></div>
<div><i><span style="font-style:normal"><br></span></i></div>
<div><i><span style="font-style:normal">So my question 
to you is: <i><span style="font-style:normal"><b> <br><span style="font-size:large"><br>What would anacceptable behaviour for the 
individuals or companies organizing (and profiting) with these 
courses? <span style="font-weight:normal">(see 
Variation+Options below)</span></span></b></span></i></span></i></div>
<div><br></div>
<div><i><span style="font-style:normal"><b>Variation A: 
the course is delivered by the <u>Project&#39;s Leader</u> as an INDEPENDENT 
Trainer</b> (this could also be a respected member of the OWASP Community 
who: is an active/past contributor; is respected by its peers; and is known to 
be <i><span style="font-style:normal"><i><span style="font-style:normal">very knowledgeable on the 
course&#39;s topic))</span></i></span></i></span></i></div>
<div><i><span style="font-style:normal"><br></span></i></div>
<div><i><span style="font-style:normal">Should he/she be 
able to: </span></i></div>
<div><i><span style="font-style:normal"><br></span></i></div>
<div><i><span style="font-style:normal"><b>   
Option 1: </b>Buy advertisement space on <a href="http://www.owasp.org" target="_blank">www.owasp.org</a> (i.e. the banner that shows up at 
the top of the home page and the local chapters)</span></i></div>
<div><i><span style="font-style:normal"><b>   </b><i><span style="font-style:normal"><i><span style="font-style:normal"><b>Option</b></span></i><b> </b><i><span style="font-style:normal"><b>2:</b> Send an email with 
the course&#39;s details to the respective OWASP mailing list (i.e. Top-10, WebGoat, 
Testing Guide, openSamm, ESAPI, ASVS). Assume that this is done with &#39;good 
taste&#39; (i.e no  &#39;snake oil&#39; or super-sales 
pitch)</span></i></span></i></span></i></div>
<div><i><span style="font-style:normal"><b>   </b><i><span style="font-style:normal"><i><span style="font-style:normal"><b>Option</b></span></i><b> </b><i><span style="font-style:normal"><b>3:</b> Include a mention to 
it at the next OWASP Newsletter</span></i></span></i></span></i></div>
<div><i><span style="font-style:normal"><b>   </b><i><span style="font-style:normal"><b>Option 
4:</b></span></i> Put a direct link to it from the respective OWASP Project 
(maybe on a section dedicated to these type of events)</span></i></div>
<div><i><span style="font-style:normal"><b>   </b><i><span style="font-style:normal"><b>Option 5:</b><i><span style="font-style:normal"> Put a <i><span style="font-style:normal">direct link from a Training 
page on the <a href="http://www.owasp.org/index.php/Commercial_Services" target="_blank">OWASP Commercial 
Services</a> section of the OWASP 
website</span></i></span></i></span></i></span></i></div>
<div><i><span style="font-style:normal"><i><span style="font-style:normal"><br></span></i></span></i></div>
<div><b><span style="font-weight:normal"><i><span style="font-style:normal"><b><br></b></span></i></span></b></div>
<div><b><span style="font-weight:normal"><i><span style="font-style:normal"><b>Variation B: the course is 
delivered by the <u>Project&#39;s Leader</u> as a hired 
employee/contractor for a 3rd party company</b></span></i></span></b></div>
<div><i><span style="font-style:normal"><i><span style="font-style:normal"><br></span></i></span></i></div>
<div><i><span style="font-style:normal"><i><span style="font-style:normal">(same 5 Options from Variation 
A)</span></i></span></i></div>
<div><i><span style="font-style:normal"><i><span style="font-style:normal"><br></span></i></span></i></div>
<div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><br></b></span></i></span></i></span></i></div>
<div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b>Variation C: the 
course is delivered by an existing <a href="http://www.owasp.org/index.php/Membership#Current_OWASP_Organization_Supporters_.26_Individual_Members" target="_blank">OWASP 
Corporate Member or Education Supporter</a> </b>(Company, University, 
etc..)</span></i></span></i></span></i></div>
<div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><br></b></span></i></span></i></span></i></div>
<div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal"><i><span style="font-style:normal"><i><span style="font-style:normal">(same 5 Options from Variation 
A)</span></i></span></i></span></b></span></i></span></i></span></i></div>
<div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><br>

</span></i></span></i></span></b></span></i></span></i></span></i></div>
<div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><br>

</b></span></i></span></i></span></i></span></b></span></i></span></i></span></i></div>
<div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b>Variation D: the 
course is delivered by an a Governmental Organization that is involved with 
OWASP </b>(for example the Brazilian Government who sponsored last year&#39;s OWASP 
Conference in 
Brazil)</span></i></span></i></span></i></span></b></span></i></span></i></span></i></div>
<div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><br></b></span></i></span></i></span></i></div>
<div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal"><i><span style="font-style:normal"><i><span style="font-style:normal">(same 5 Options from Variation 
A)</span></i></span></i></span></b></span></i></span></i></span></i></div>
<div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal">
<div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><br></b></span></i></span></i></span></i></div>
<div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal">
<div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><br>

</b></span></i></span></i></span></i></span></b></span></i></span></i></span></i></div>
<div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b>Variation D: the 
course is delivered by an a Governmental Organization that is NOT part of 
the OWASP 
Community </b></span></i></span></i></span></i></span></b></span></i></span></i></span></i></div>
<div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><br></b></span></i></span></i></span></i></div>
<div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal"><i><span style="font-style:normal"><i><span style="font-style:normal">(same 5 Options from Variation 
A)</span></i></span></i></span></b></span></i></span></i></span></i></div></span></b></span></i></span></i></span></i></div>
<div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><br></b></span></i></span></i></span></i></div>
<div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal">
<div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal">
<div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><br>

</b></span></i></span></i></span></i></span></b></span></i></span></i></span></i></div>
<div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b>Variation E: the 
course is delivered by an a Industry Body <span style="font-weight:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal">
<div style="display:inline! important"><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal">
<div style="display:inline! important"><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal">
<div style="display:inline! important"><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal">
<div style="display:inline! important"><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b>that is NOT part of the OWASP Community </b>(for 
example lets say that the PCI Council decided to sell (and profit) from the 
delivery of OWASP Top 10 
courses)</span></i></span></i></span></i></span></b></span></i></span></i></span></i></div></span></b></span></i></span></i></span></i></div></span></b></span></i></span></i></span></i></span></b></span></i></span></i></span></i></div>

</span></b></span></i></span></i></span></i></span></b></span></i></span></i></span></i></div></span></b></span></i></span></i></span></i></span></b></span></i></span></i></span></i></span></b></span></i></span></i></span></i></div>


<div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><br></b></span></i></span></i></span></i></div>
<div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal"><i><span style="font-style:normal"><i><span style="font-style:normal">(same 5 Options from Variation 
A)</span></i></span></i></span></b></span></i></span></i></span></i></div>
<div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><br>

</span></i></span></i></span></b></span></i></span></i></span></i></div></span></b></span></i></span></i></span></i></div></span></b></span></i></span></i></span></i></span></b></span></i></span></i></span></i></div>
<div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><br></b></span></i></span></i></span></i></div>
<div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b>Variation F: the 
course is delivered by a company/individual that is NOT part of the OWASP 
Community </b>(i.e. not a member, trainer is not an OWASP Leader, 
nobody has really heard of them before)</span></i></span></i></span></i></div>
<div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><br></b></span></i></span></i></span></i></div>
<div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal"><i><span style="font-style:normal"><i><span style="font-style:normal">(same 5 Options from Variation 
A)</span></i></span></i></span></b></span></i></span></i></span></i></div></span></b></span></i></span></i></span></i></div>
<div><br></div>
<div><br></div>
<div>------------------------------------------------------------------------------------</div>
<div><br></div>
<div>Taking into account that we want as many people to be exposed to OWASP 
materials and that there should be a direct relationship between the success of 
these courses and the market penetration of the affected OWASP Projects ..... 
 from your point of view, which Variation+Options listed above:</div>
<div><br></div>
<div>   i) are compatible with OWASP&#39;s values/independence and 
SHOULD be allowed (but monitored to prevent abuses)</div>
<div>   ii) are NOT compatible with OWASP&#39;s values and SHOULD NOT be 
allowed</div>
<div>  iii) should only be allowed with &#39;somebody&#39; (GEC, OWASP Board, 
Project leader) permission / validation</div>
<div>  iv) should be allowed, BUT with the information located at a 
very specific locations (for example what happens with the the OWASP <a href="http://www.owasp.org/index.php/OWASP_Jobs" target="_blank">Job Board</a> or the <a href="http://www.owasp.org/index.php/Commercial_Services" target="_blank">OWASP Commercial 
Services</a>)</div>
<div><br></div>
<div>Looking forward to hearing your answers and points of view</div>
<div><br>Dinis Cruz<br></div>
<div>OWASP Board Member</div></div></div></div></div>
<br>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div></div>