<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <meta content="text/html; charset=ISO-8859-1"
 http-equiv="Content-Type">
</head>
<body bgcolor="#ffffff" text="#000000">
This program (OWASP commercial services) totally freaks me out. It just
doesn't seem right to me on a number of levels.<br>
<br>
But, the core mission of OWASP is to make application security visible
- and companies are needing deeper solutions that Open Source alone
cannot provide today.<br>
<br>
So even though I have personal/emotional reservations to this
initiative - I do objectively support it and hope it stays something
positive for our community.<br>
<br>
- Jim<br>
<br>
<br>
<blockquote
 cite="mid:AANLkTikAnUCV2G5KvMiyFd7JXLi0oF_TdNxZ45mPVvIO@mail.gmail.com"
 type="cite">We already have in place of course the brand usage policy.
  <div><br>
  </div>
  <div>I think this is not so complicated as all that.</div>
  <div><br>
  </div>
  <div>This is no different than the jobs page. It is locked and
administered in the same way.</div>
  <div><br>
  </div>
  <div>All that we're shooting here for is a phone book, basically,
with a little bit of value add by compelling 1-2 sentence description
of approach.<br>
  <div><br clear="all">
Mike<br>
  <br>
  <br>
  <div class="gmail_quote">On Thu, May 13, 2010 at 7:05 PM, dinis cruz <span
 dir="ltr">&lt;<a moz-do-not-send="true"
 href="mailto:dinis.cruz@owasp.org">dinis.cruz@owasp.org</a>&gt;</span>
wrote:<br>
  <blockquote class="gmail_quote"
 style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">Hi
OWASP Leaders (CCing OWASP Global Education Committee, OWASP
Connections Committee and Mike Boberski (who is trying to figure out
the best way to implement the <a moz-do-not-send="true"
 href="http://www.owasp.org/index.php/Commercial_Services"
 target="_blank">OWASP Commercial Services</a> idea))
    <div><br>
    </div>
    <div>Question for you.&nbsp;</div>
    <div><br>
    </div>
    <div>Given the following scenario:
    <div><br>
    </div>
    <div>"...</div>
    <div><i>Company XYZ is delivering&nbsp;commercially&nbsp;(i.e. paid for)
&nbsp;OWASP related courses, such as for example: "OWASP Top 10", "Using
OWASP WebGoat", "Performing security assessments using the OWASP
Testing Guide" , "How to use OpenSAMM in your organization", "OWASP
ESAPI" , "OWASP ASVS", etc... &nbsp;&nbsp;<br>
    <br>
    </i></div>
    <div><i>&nbsp;- these courses are independently delivered at "NON
OWASP&nbsp;organized"&nbsp;events (for example a developer's Conference or
bespoke training sessions)</i></div>
    <div><i>&nbsp;- attendees have to pay to attend (i.e. these are&nbsp;<span
 style="font-style: normal;"><i>NOT FREE or 'OWASP only' events like
the one we <a moz-do-not-send="true"
 href="http://www.owasp.org/index.php/London/Training/OWASP_projects_and_resources_you_can_use_TODAY"
 target="_blank">organized and delivered at the OWASP London Chapter</a>&nbsp;last
month)&nbsp;<span style="font-style: normal;"><i>&nbsp;</i></span></i></span></i></div>
    <div><i>&nbsp;- there is no mandatory direct financial&nbsp;return for OWASP
(any payments back to OWASP (<span style="font-style: normal;"><i>if
any at all)&nbsp;<span style="font-style: normal;"><i>would have to be made
at the&nbsp;discretion&nbsp;of the&nbsp;organizing&nbsp;party)</i></span></i></span></i></div>
    <div><i><br>
    </i></div>
    <div><i>..."</i></div>
    <div><i><br>
    </i></div>
    <div><i><span style="font-style: normal;">Given that a large part
of the potential (paying) audience for these courses is part of the&nbsp;<i><span
 style="font-style: normal;">existing &nbsp;<i><span
 style="font-style: normal;">OWASP community, namely the OWASP Mailing
lists and WIKI viewers, the&nbsp;organizing&nbsp;party would be
very&nbsp;interested&nbsp;to&nbsp;advertise&nbsp;to target OWASP project the course details
(curriculum, trainer, delivery date, price, location, etc...)</span></i></span></i></span></i></div>
    <div><i><span style="font-style: normal;"><br>
    </span></i></div>
    <div><i><span style="font-style: normal;">Since this is a new area
for OWASP, we have to make sure we handle this in a way that is
accepted/respected by our leaders and community.</span></i></div>
    <div><i><span style="font-style: normal;"><br>
    </span></i></div>
    <div><i><span style="font-style: normal;">So my question to you is:&nbsp;<i><span
 style="font-style: normal;"><b>&nbsp;<br>
    <span style="font-size: large;"><br>
What would anacceptable behaviour for the individuals or
companies&nbsp;organizing&nbsp;(and profiting) with these courses? <span
 style="font-weight: normal;">(see Variation+Options below)</span></span></b></span></i></span></i></div>
    <div><br>
    </div>
    <div><i><span style="font-style: normal;"><b>Variation A: the
course is delivered by the <u>Project's Leader</u>&nbsp;as an INDEPENDENT
Trainer</b>&nbsp;(this could also be a respected member of the OWASP
Community who: is an active/past contributor; is respected by its
peers; and is known to be <i><span style="font-style: normal;"><i><span
 style="font-style: normal;">very knowledgeable on the course's topic))</span></i></span></i></span></i></div>
    <div><i><span style="font-style: normal;"><br>
    </span></i></div>
    <div><i><span style="font-style: normal;">Should he/she be able to:&nbsp;</span></i></div>
    <div><i><span style="font-style: normal;"><br>
    </span></i></div>
    <div><i><span style="font-style: normal;"><b>&nbsp;&nbsp; Option 1: </b>Buy&nbsp;advertisement&nbsp;space
on <a moz-do-not-send="true" href="http://www.owasp.org"
 target="_blank">www.owasp.org</a> (i.e. the banner that shows up at
the top of the home page and the local chapters)</span></i></div>
    <div><i><span style="font-style: normal;"><b>&nbsp;&nbsp;&nbsp;</b><i><span
 style="font-style: normal;"><i><span style="font-style: normal;"><b>Option</b></span></i><b>&nbsp;</b><i><span
 style="font-style: normal;"><b>2:</b> Send an email with the course's
details to the respective OWASP mailing list (i.e. Top-10, WebGoat,
Testing Guide, openSamm, ESAPI, ASVS). Assume that this is done with
'good taste' (i.e no &nbsp;'snake oil' or super-sales pitch)</span></i></span></i></span></i></div>
    <div><i><span style="font-style: normal;"><b>&nbsp;&nbsp;&nbsp;</b><i><span
 style="font-style: normal;"><i><span style="font-style: normal;"><b>Option</b></span></i><b>&nbsp;</b><i><span
 style="font-style: normal;"><b>3:</b> Include a mention to it at the
next OWASP Newsletter</span></i></span></i></span></i></div>
    <div><i><span style="font-style: normal;"><b>&nbsp;&nbsp;&nbsp;</b><i><span
 style="font-style: normal;"><b>Option 4:</b></span></i>&nbsp;Put a direct
link to it from the respective OWASP Project (maybe on a section
dedicated to these type of events)</span></i></div>
    <div><i><span style="font-style: normal;"><b>&nbsp;&nbsp;&nbsp;</b><i><span
 style="font-style: normal;"><b>Option 5:</b><i><span
 style="font-style: normal;">&nbsp;Put a&nbsp;<i><span style="font-style: normal;">direct
link from a Training page on the&nbsp;<a moz-do-not-send="true"
 href="http://www.owasp.org/index.php/Commercial_Services"
 target="_blank">OWASP Commercial Services</a>&nbsp;section of the OWASP
website</span></i></span></i></span></i></span></i></div>
    <div><i><span style="font-style: normal;"><i><span
 style="font-style: normal;"><br>
    </span></i></span></i></div>
    <div><b><span style="font-weight: normal;"><i><span
 style="font-style: normal;"><b><br>
    </b></span></i></span></b></div>
    <div><b><span style="font-weight: normal;"><i><span
 style="font-style: normal;"><b>Variation B: the course is delivered by
the&nbsp;<u>Project's Leader</u>&nbsp;as a hired employee/contractor for a 3rd
party company</b></span></i></span></b></div>
    <div><i><span style="font-style: normal;"><i><span
 style="font-style: normal;"><br>
    </span></i></span></i></div>
    <div><i><span style="font-style: normal;"><i><span
 style="font-style: normal;">(same 5 Options from Variation A)</span></i></span></i></div>
    <div><i><span style="font-style: normal;"><i><span
 style="font-style: normal;"><br>
    </span></i></span></i></div>
    <div><i><span style="font-style: normal;"><i><span
 style="font-style: normal;"><i><span style="font-style: normal;"><b><br>
    </b></span></i></span></i></span></i></div>
    <div><i><span style="font-style: normal;"><i><span
 style="font-style: normal;"><i><span style="font-style: normal;"><b>Variation
C:&nbsp;the course is delivered by an existing <a moz-do-not-send="true"
 href="http://www.owasp.org/index.php/Membership#Current_OWASP_Organization_Supporters_.26_Individual_Members"
 target="_blank">OWASP Corporate Member or Education Supporter</a>&nbsp;</b>(Company,
University, etc..)</span></i></span></i></span></i></div>
    <div><i><span style="font-style: normal;"><i><span
 style="font-style: normal;"><i><span style="font-style: normal;"><b><br>
    </b></span></i></span></i></span></i></div>
    <div><i><span style="font-style: normal;"><i><span
 style="font-style: normal;"><i><span style="font-style: normal;"><b><span
 style="font-weight: normal;"><i><span style="font-style: normal;"><i><span
 style="font-style: normal;">(same 5 Options from Variation A)</span></i></span></i></span></b></span></i></span></i></span></i></div>
    <div><i><span style="font-style: normal;"><i><span
 style="font-style: normal;"><i><span style="font-style: normal;"><b><span
 style="font-weight: normal;"><i><span style="font-style: normal;"><i><span
 style="font-style: normal;"><br>
    </span></i></span></i></span></b></span></i></span></i></span></i></div>
    <div><i><span style="font-style: normal;"><i><span
 style="font-style: normal;"><i><span style="font-style: normal;"><b><span
 style="font-weight: normal;"><i><span style="font-style: normal;"><i><span
 style="font-style: normal;"><i><span style="font-style: normal;"><b><br>
    </b></span></i></span></i></span></i></span></b></span></i></span></i></span></i></div>
    <div><i><span style="font-style: normal;"><i><span
 style="font-style: normal;"><i><span style="font-style: normal;"><b><span
 style="font-weight: normal;"><i><span style="font-style: normal;"><i><span
 style="font-style: normal;"><i><span style="font-style: normal;"><b>Variation
D:&nbsp;the course is delivered by an a Governmental&nbsp;Organization that is
involved with OWASP </b>(for example the Brazilian Government who
sponsored last year's OWASP Conference in Brazil)</span></i></span></i></span></i></span></b></span></i></span></i></span></i></div>
    <div><i><span style="font-style: normal;"><i><span
 style="font-style: normal;"><i><span style="font-style: normal;"><b><br>
    </b></span></i></span></i></span></i></div>
    <div><i><span style="font-style: normal;"><i><span
 style="font-style: normal;"><i><span style="font-style: normal;"><b><span
 style="font-weight: normal;"><i><span style="font-style: normal;"><i><span
 style="font-style: normal;">(same 5 Options from Variation A)</span></i></span></i></span></b></span></i></span></i></span></i></div>
    <div><i><span style="font-style: normal;"><i><span
 style="font-style: normal;"><i><span style="font-style: normal;"><b><span
 style="font-weight: normal;">
    <div><i><span style="font-style: normal;"><i><span
 style="font-style: normal;"><i><span style="font-style: normal;"><b><br>
    </b></span></i></span></i></span></i></div>
    <div><i><span style="font-style: normal;"><i><span
 style="font-style: normal;"><i><span style="font-style: normal;"><b><span
 style="font-weight: normal;">
    <div><i><span style="font-style: normal;"><i><span
 style="font-style: normal;"><i><span style="font-style: normal;"><b><span
 style="font-weight: normal;"><i><span style="font-style: normal;"><i><span
 style="font-style: normal;"><i><span style="font-style: normal;"><b><br>
    </b></span></i></span></i></span></i></span></b></span></i></span></i></span></i></div>
    <div><i><span style="font-style: normal;"><i><span
 style="font-style: normal;"><i><span style="font-style: normal;"><b><span
 style="font-weight: normal;"><i><span style="font-style: normal;"><i><span
 style="font-style: normal;"><i><span style="font-style: normal;"><b>Variation
D:&nbsp;the course is delivered by an a Governmental&nbsp;Organization that is
NOT part of the OWASP Community&nbsp;</b></span></i></span></i></span></i></span></b></span></i></span></i></span></i></div>
    <div><i><span style="font-style: normal;"><i><span
 style="font-style: normal;"><i><span style="font-style: normal;"><b><br>
    </b></span></i></span></i></span></i></div>
    <div><i><span style="font-style: normal;"><i><span
 style="font-style: normal;"><i><span style="font-style: normal;"><b><span
 style="font-weight: normal;"><i><span style="font-style: normal;"><i><span
 style="font-style: normal;">(same 5 Options from Variation A)</span></i></span></i></span></b></span></i></span></i></span></i></div>
    </span></b></span></i></span></i></span></i></div>
    <div><i><span style="font-style: normal;"><i><span
 style="font-style: normal;"><i><span style="font-style: normal;"><b><br>
    </b></span></i></span></i></span></i></div>
    <div><i><span style="font-style: normal;"><i><span
 style="font-style: normal;"><i><span style="font-style: normal;"><b><span
 style="font-weight: normal;"><i><span style="font-style: normal;"><i><span
 style="font-style: normal;"><i><span style="font-style: normal;"><b><span
 style="font-weight: normal;">
    <div><i><span style="font-style: normal;"><i><span
 style="font-style: normal;"><i><span style="font-style: normal;"><b><span
 style="font-weight: normal;">
    <div><i><span style="font-style: normal;"><i><span
 style="font-style: normal;"><i><span style="font-style: normal;"><b><span
 style="font-weight: normal;"><i><span style="font-style: normal;"><i><span
 style="font-style: normal;"><i><span style="font-style: normal;"><b><br>
    </b></span></i></span></i></span></i></span></b></span></i></span></i></span></i></div>
    <div><i><span style="font-style: normal;"><i><span
 style="font-style: normal;"><i><span style="font-style: normal;"><b><span
 style="font-weight: normal;"><i><span style="font-style: normal;"><i><span
 style="font-style: normal;"><i><span style="font-style: normal;"><b>Variation
E:&nbsp;the course is delivered by an a Industry Body&nbsp;<span
 style="font-weight: normal;"><i><span style="font-style: normal;"><i><span
 style="font-style: normal;"><i><span style="font-style: normal;"><b><span
 style="font-weight: normal;">
    <div style="display: inline ! important;"><i><span
 style="font-style: normal;"><i><span style="font-style: normal;"><i><span
 style="font-style: normal;"><b><span style="font-weight: normal;"><i><span
 style="font-style: normal;"><i><span style="font-style: normal;"><i><span
 style="font-style: normal;"><b><span style="font-weight: normal;">
    <div style="display: inline ! important;"><i><span
 style="font-style: normal;"><i><span style="font-style: normal;"><i><span
 style="font-style: normal;"><b><span style="font-weight: normal;"><i><span
 style="font-style: normal;"><i><span style="font-style: normal;"><i><span
 style="font-style: normal;"><b><span style="font-weight: normal;">
    <div style="display: inline ! important;"><i><span
 style="font-style: normal;"><i><span style="font-style: normal;"><i><span
 style="font-style: normal;"><b><span style="font-weight: normal;">
    <div style="display: inline ! important;"><i><span
 style="font-style: normal;"><i><span style="font-style: normal;"><i><span
 style="font-style: normal;"><b><span style="font-weight: normal;"><i><span
 style="font-style: normal;"><i><span style="font-style: normal;"><i><span
 style="font-style: normal;"><b>that is NOT part of the OWASP Community
    </b>(for example lets say that the PCI Council decided to sell (and
profit) from the delivery of OWASP Top 10 courses)</span></i></span></i></span></i></span></b></span></i></span></i></span></i></div>
    </span></b></span></i></span></i></span></i></div>
    </span></b></span></i></span></i></span></i></span></b></span></i></span></i></span></i></div>
    </span></b></span></i></span></i></span></i></span></b></span></i></span></i></span></i></div>
    </span></b></span></i></span></i></span></i></span></b></span></i></span></i></span></i></span></b></span></i></span></i></span></i></div>
    <div><i><span style="font-style: normal;"><i><span
 style="font-style: normal;"><i><span style="font-style: normal;"><b><br>
    </b></span></i></span></i></span></i></div>
    <div><i><span style="font-style: normal;"><i><span
 style="font-style: normal;"><i><span style="font-style: normal;"><b><span
 style="font-weight: normal;"><i><span style="font-style: normal;"><i><span
 style="font-style: normal;">(same 5 Options from Variation A)</span></i></span></i></span></b></span></i></span></i></span></i></div>
    <div><i><span style="font-style: normal;"><i><span
 style="font-style: normal;"><i><span style="font-style: normal;"><b><span
 style="font-weight: normal;"><i><span style="font-style: normal;"><i><span
 style="font-style: normal;"><br>
    </span></i></span></i></span></b></span></i></span></i></span></i></div>
    </span></b></span></i></span></i></span></i></div>
    </span></b></span></i></span></i></span></i></span></b></span></i></span></i></span></i></div>
    <div><i><span style="font-style: normal;"><i><span
 style="font-style: normal;"><i><span style="font-style: normal;"><b><br>
    </b></span></i></span></i></span></i></div>
    <div><i><span style="font-style: normal;"><i><span
 style="font-style: normal;"><i><span style="font-style: normal;"><b>Variation
F:&nbsp;the course is delivered by a company/individual that is NOT part of
the OWASP Community </b>(i.e. not a member,&nbsp;trainer&nbsp;is not an OWASP
Leader, nobody has really heard of them before)</span></i></span></i></span></i></div>
    <div><i><span style="font-style: normal;"><i><span
 style="font-style: normal;"><i><span style="font-style: normal;"><b><br>
    </b></span></i></span></i></span></i></div>
    <div><i><span style="font-style: normal;"><i><span
 style="font-style: normal;"><i><span style="font-style: normal;"><b><span
 style="font-weight: normal;"><i><span style="font-style: normal;"><i><span
 style="font-style: normal;">(same 5 Options from Variation A)</span></i></span></i></span></b></span></i></span></i></span></i></div>
    </span></b></span></i></span></i></span></i></div>
    <div><br>
    </div>
    <div><br>
    </div>
    <div>------------------------------------------------------------------------------------</div>
    <div><br>
    </div>
    <div>Taking into account that we want as many people to be exposed
to OWASP materials and that there should be a direct relationship
between the success of these courses and the market penetration of the
affected OWASP Projects ..... &nbsp;from your point of view, which
Variation+Options listed above:</div>
    <div><br>
    </div>
    <div>&nbsp;&nbsp; i) are compatible with OWASP's values/independence&nbsp;and
SHOULD be allowed (but monitored to prevent abuses)</div>
    <div>&nbsp;&nbsp; ii) are NOT compatible with OWASP's values and SHOULD NOT
be allowed</div>
    <div>&nbsp;&nbsp;iii) should only be allowed with 'somebody' (GEC, OWASP
Board, Project leader) permission / validation</div>
    <div>&nbsp;&nbsp;iv) should be allowed, BUT with the information located at a
very specific locations (for example what happens with the the OWASP <a
 moz-do-not-send="true" href="http://www.owasp.org/index.php/OWASP_Jobs"
 target="_blank">Job Board</a> or the&nbsp;<a moz-do-not-send="true"
 href="http://www.owasp.org/index.php/Commercial_Services"
 target="_blank">OWASP Commercial Services</a>)</div>
    <div><br>
    </div>
    <div>Looking forward to hearing your answers and points of view</div>
    <div><br>
Dinis Cruz<br>
    </div>
    <div>OWASP Board Member</div>
    </div>
  </blockquote>
  </div>
  <br>
  </div>
  </div>
  <pre wrap="">
<fieldset class="mimeAttachmentHeader"></fieldset>
_______________________________________________
OWASP-Leaders mailing list
<a class="moz-txt-link-abbreviated" href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a>
<a class="moz-txt-link-freetext" href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a>
  </pre>
</blockquote>
<br>
<br>
<pre class="moz-signature" cols="72">-- 
Jim Manico
OWASP Podcast Host/Producer
OWASP ESAPI Project Manager
<a class="moz-txt-link-freetext" href="http://www.manico.net">http://www.manico.net</a></pre>
</body>
</html>