Hi OWASP Leaders (CCing OWASP Global Education Committee, OWASP Connections Committee and Mike Boberski (who is trying to figure out the best way to implement the <a href="http://www.owasp.org/index.php/Commercial_Services">OWASP Commercial Services</a> idea))<div>
<br></div><div>Question for you. </div><div><br></div><div>Given the following scenario:<div><br></div><div>&quot;...</div><div><i>Company XYZ is delivering commercially (i.e. paid for)  OWASP related courses, such as for example: &quot;OWASP Top 10&quot;, &quot;Using OWASP WebGoat&quot;, &quot;Performing security assessments using the OWASP Testing Guide&quot; , &quot;How to use OpenSAMM in your organization&quot;, &quot;OWASP ESAPI&quot; , &quot;OWASP ASVS&quot;, etc...   <br>
<br></i></div><div><i> - these courses are independently delivered at &quot;NON OWASP organized&quot; events (for example a developer&#39;s Conference or bespoke training sessions)</i></div><div><i> - attendees have to pay to attend (i.e. these are <span class="Apple-style-span" style="font-style: normal; "><i>NOT FREE or &#39;OWASP only&#39; events like the one we <a href="http://www.owasp.org/index.php/London/Training/OWASP_projects_and_resources_you_can_use_TODAY">organized and delivered at the OWASP London Chapter</a> last month) <span class="Apple-style-span" style="font-style: normal; "><i> </i></span></i></span></i></div>
<div><i> - there is no mandatory direct financial return for OWASP (any payments back to OWASP (<span class="Apple-style-span" style="font-style: normal; "><i>if any at all) <span class="Apple-style-span" style="font-style: normal; "><i>would have to be made at the discretion of the organizing party)</i></span></i></span></i></div>
<div><i><br></i></div><div><i>...&quot;</i></div><div><i><br></i></div><div><i><span class="Apple-style-span" style="font-style: normal; ">Given that a large part of the potential (paying) audience for these courses is part of the <i><span class="Apple-style-span" style="font-style: normal; ">existing  <i><span class="Apple-style-span" style="font-style: normal; ">OWASP community, namely the OWASP Mailing lists and WIKI viewers, the organizing party would be very interested to advertise to target OWASP project the course details (curriculum, trainer, delivery date, price, location, etc...)</span></i></span></i></span></i></div>
<div><i><span class="Apple-style-span" style="font-style: normal; "><br></span></i></div><div><i><span class="Apple-style-span" style="font-style: normal; ">Since this is a new area for OWASP, we have to make sure we handle this in a way that is accepted/respected by our leaders and community.</span></i></div>
<div><i><span class="Apple-style-span" style="font-style: normal; "><br></span></i></div><div><i><span class="Apple-style-span" style="font-style: normal; ">So my question to you is: <i><span class="Apple-style-span" style="font-style: normal; "><b> <br>
<span class="Apple-style-span" style="font-size: large;"><br>What would anacceptable behaviour for the individuals or companies organizing (and profiting) with these courses? <span class="Apple-style-span" style="font-weight: normal;">(see Variation+Options below)</span></span></b></span></i></span></i></div>
<div><br></div><div><i><span class="Apple-style-span" style="font-style: normal;"><b>Variation A: the course is delivered by the <u>Project&#39;s Leader</u> as an INDEPENDENT Trainer</b> (this could also be a respected member of the OWASP Community who: is an active/past contributor; is respected by its peers; and is known to be <i><span class="Apple-style-span" style="font-style: normal;"><i><span class="Apple-style-span" style="font-style: normal;">very knowledgeable on the course&#39;s topic))</span></i></span></i></span></i></div>
<div><i><span class="Apple-style-span" style="font-style: normal;"><br></span></i></div><div><i><span class="Apple-style-span" style="font-style: normal;">Should he/she be able to: </span></i></div><div><i><span class="Apple-style-span" style="font-style: normal;"><br>
</span></i></div><div><i><span class="Apple-style-span" style="font-style: normal;"><b>   Option 1: </b>Buy advertisement space on <a href="http://www.owasp.org">www.owasp.org</a> (i.e. the banner that shows up at the top of the home page and the local chapters)</span></i></div>
<div><i><span class="Apple-style-span" style="font-style: normal;"><b>   </b><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><b>Option</b></span></i><b> </b><i><span class="Apple-style-span" style="font-style: normal;"><b>2:</b> Send an email with the course&#39;s details to the respective OWASP mailing list (i.e. Top-10, WebGoat, Testing Guide, openSamm, ESAPI, ASVS). Assume that this is done with &#39;good taste&#39; (i.e no  &#39;snake oil&#39; or super-sales pitch)</span></i></span></i></span></i></div>
<div><i><span class="Apple-style-span" style="font-style: normal;"><b>   </b><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><b>Option</b></span></i><b> </b><i><span class="Apple-style-span" style="font-style: normal;"><b>3:</b> Include a mention to it at the next OWASP Newsletter</span></i></span></i></span></i></div>
<div><i><span class="Apple-style-span" style="font-style: normal;"><b>   </b><i><span class="Apple-style-span" style="font-style: normal; "><b>Option 4:</b></span></i> Put a direct link to it from the respective OWASP Project (maybe on a section dedicated to these type of events)</span></i></div>
<div><i><span class="Apple-style-span" style="font-style: normal;"><b>   </b><i><span class="Apple-style-span" style="font-style: normal; "><b>Option 5:</b><i><span class="Apple-style-span" style="font-style: normal;"> Put a <i><span class="Apple-style-span" style="font-style: normal; ">direct link from a Training page on the <a href="http://www.owasp.org/index.php/Commercial_Services">OWASP Commercial Services</a> section of the OWASP website</span></i></span></i></span></i></span></i></div>
<div><i><span class="Apple-style-span" style="font-style: normal;"><i><span class="Apple-style-span" style="font-style: normal; "><br></span></i></span></i></div><div><b><span class="Apple-style-span" style="font-weight: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><b><br>
</b></span></i></span></b></div><div><b><span class="Apple-style-span" style="font-weight: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><b>Variation B: the course is delivered by the <u>Project&#39;s Leader</u> as a hired employee/contractor for a 3rd party company</b></span></i></span></b></div>
<div><i><span class="Apple-style-span" style="font-style: normal;"><i><span class="Apple-style-span" style="font-style: normal; "><br></span></i></span></i></div><div><i><span class="Apple-style-span" style="font-style: normal;"><i><span class="Apple-style-span" style="font-style: normal; ">(same 5 Options from Variation A)</span></i></span></i></div>
<div><i><span class="Apple-style-span" style="font-style: normal;"><i><span class="Apple-style-span" style="font-style: normal; "><br></span></i></span></i></div><div><i><span class="Apple-style-span" style="font-style: normal;"><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><b><br>
</b></span></i></span></i></span></i></div><div><i><span class="Apple-style-span" style="font-style: normal;"><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><b>Variation C: the course is delivered by an existing <a href="http://www.owasp.org/index.php/Membership#Current_OWASP_Organization_Supporters_.26_Individual_Members">OWASP Corporate Member or Education Supporter</a> </b>(Company, University, etc..)</span></i></span></i></span></i></div>
<div><i><span class="Apple-style-span" style="font-style: normal;"><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><b><br></b></span></i></span></i></span></i></div>
<div><i><span class="Apple-style-span" style="font-style: normal;"><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><b><span class="Apple-style-span" style="font-weight: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; ">(same 5 Options from Variation A)</span></i></span></i></span></b></span></i></span></i></span></i></div>
<div><i><span class="Apple-style-span" style="font-style: normal;"><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><b><span class="Apple-style-span" style="font-weight: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><br>
</span></i></span></i></span></b></span></i></span></i></span></i></div><div><i><span class="Apple-style-span" style="font-style: normal;"><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><b><span class="Apple-style-span" style="font-weight: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><b><br>
</b></span></i></span></i></span></i></span></b></span></i></span></i></span></i></div><div><i><span class="Apple-style-span" style="font-style: normal;"><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><b><span class="Apple-style-span" style="font-weight: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><b>Variation D: the course is delivered by an a Governmental Organization that is involved with OWASP </b>(for example the Brazilian Government who sponsored last year&#39;s OWASP Conference in Brazil)</span></i></span></i></span></i></span></b></span></i></span></i></span></i></div>
<div><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><b><br></b></span></i></span></i></span></i></div>
<div><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><b><span class="Apple-style-span" style="font-weight: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; ">(same 5 Options from Variation A)</span></i></span></i></span></b></span></i></span></i></span></i></div>
<div><i><span class="Apple-style-span" style="font-style: normal;"><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><b><span class="Apple-style-span" style="font-weight: normal; "><div>
<i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><b><br></b></span></i></span></i></span></i></div>
<div><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><b><span class="Apple-style-span" style="font-weight: normal; "><div>
<i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><b><span class="Apple-style-span" style="font-weight: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><b><br>
</b></span></i></span></i></span></i></span></b></span></i></span></i></span></i></div><div><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><b><span class="Apple-style-span" style="font-weight: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><b>Variation D: the course is delivered by an a Governmental Organization that is NOT part of the OWASP Community </b></span></i></span></i></span></i></span></b></span></i></span></i></span></i></div>
<div><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><b><br></b></span></i></span></i></span></i></div>
<div><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><b><span class="Apple-style-span" style="font-weight: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; ">(same 5 Options from Variation A)</span></i></span></i></span></b></span></i></span></i></span></i></div>
</span></b></span></i></span></i></span></i></div><div><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><b><br>
</b></span></i></span></i></span></i></div><div><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><b><span class="Apple-style-span" style="font-weight: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><b><span class="Apple-style-span" style="font-weight: normal; "><div>
<i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><b><span class="Apple-style-span" style="font-weight: normal; "><div>
<i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><b><span class="Apple-style-span" style="font-weight: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><b><br>
</b></span></i></span></i></span></i></span></b></span></i></span></i></span></i></div><div><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><b><span class="Apple-style-span" style="font-weight: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><b>Variation E: the course is delivered by an a Industry Body <span class="Apple-style-span" style="font-weight: normal; "><i><span class="Apple-style-span" style="font-style: normal;"><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><b><span class="Apple-style-span" style="font-weight: normal; "><div style="display: inline !important; ">
<i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><b><span class="Apple-style-span" style="font-weight: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><b><span class="Apple-style-span" style="font-weight: normal; "><div style="display: inline !important; ">
<i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><b><span class="Apple-style-span" style="font-weight: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><b><span class="Apple-style-span" style="font-weight: normal; "><div style="display: inline !important; ">
<i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><b><span class="Apple-style-span" style="font-weight: normal; "><div style="display: inline !important; ">
<i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><b><span class="Apple-style-span" style="font-weight: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><b>that is NOT part of the OWASP Community </b>(for example lets say that the PCI Council decided to sell (and profit) from the delivery of OWASP Top 10 courses)</span></i></span></i></span></i></span></b></span></i></span></i></span></i></div>
</span></b></span></i></span></i></span></i></div></span></b></span></i></span></i></span></i></span></b></span></i></span></i></span></i></div></span></b></span></i></span></i></span></i></span></b></span></i></span></i></span></i></div>
</span></b></span></i></span></i></span></i></span></b></span></i></span></i></span></i></span></b></span></i></span></i></span></i></div><div><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><b><br>
</b></span></i></span></i></span></i></div><div><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><b><span class="Apple-style-span" style="font-weight: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; ">(same 5 Options from Variation A)</span></i></span></i></span></b></span></i></span></i></span></i></div>
<div><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><b><span class="Apple-style-span" style="font-weight: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><br>
</span></i></span></i></span></b></span></i></span></i></span></i></div></span></b></span></i></span></i></span></i></div></span></b></span></i></span></i></span></i></span></b></span></i></span></i></span></i></div><div>
<i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><b><br></b></span></i></span></i></span></i></div>
<div><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><b>Variation F: the course is delivered by a company/individual that is NOT part of the OWASP Community </b>(i.e. not a member, trainer is not an OWASP Leader, nobody has really heard of them before)</span></i></span></i></span></i></div>
<div><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><b><br></b></span></i></span></i></span></i></div>
<div><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><b><span class="Apple-style-span" style="font-weight: normal; "><i><span class="Apple-style-span" style="font-style: normal; "><i><span class="Apple-style-span" style="font-style: normal; ">(same 5 Options from Variation A)</span></i></span></i></span></b></span></i></span></i></span></i></div>
</span></b></span></i></span></i></span></i></div><div><br></div><div><br></div><div>------------------------------------------------------------------------------------</div><div><br></div><div>Taking into account that we want as many people to be exposed to OWASP materials and that there should be a direct relationship between the success of these courses and the market penetration of the affected OWASP Projects .....  from your point of view, which Variation+Options listed above:</div>
<div><br></div><div>   i) are compatible with OWASP&#39;s values/independence and SHOULD be allowed (but monitored to prevent abuses)</div><div>   ii) are NOT compatible with OWASP&#39;s values and SHOULD NOT be allowed</div>
<div>  iii) should only be allowed with &#39;somebody&#39; (GEC, OWASP Board, Project leader) permission / validation</div><div>  iv) should be allowed, BUT with the information located at a very specific locations (for example what happens with the the OWASP <a href="http://www.owasp.org/index.php/OWASP_Jobs">Job Board</a> or the <a href="http://www.owasp.org/index.php/Commercial_Services">OWASP Commercial Services</a>)</div>
<div><br></div><div>Looking forward to hearing your answers and points of view</div><div><br>Dinis Cruz<br>
</div><div>OWASP Board Member</div></div>