<html><head></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><div><br class="webkit-block-placeholder"></div><div><span class="Apple-style-span" style="border-collapse: separate; color: rgb(0, 0, 0); font-family: Helvetica; font-size: medium; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-border-horizontal-spacing: 0px; -webkit-border-vertical-spacing: 0px; -webkit-text-decorations-in-effect: none; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; ">Perhaps "OWASP community supporters" &nbsp;vs . "OWASP commercial service"<br><br><br></span>
</div>
<br><div><div>On May 13, 2010, at 8:20 PM, Mike Boberski wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite">There are a number of other comparable examples, ranging from Common Criteria, FIPS 140, to Drupal.<div><br></div><div>There are NO mechanisms that allows a listed company to interfere with any OWASP project or function, exactly as there are none for job listings.&nbsp;</div>

<div><br></div><div>The approach taken has been painstakingly designed to align with OWASP's mission.<br><div><br clear="all">Mike<br>
<br><br><div class="gmail_quote">On Thu, May 13, 2010 at 8:19 PM, Jim Manico <span dir="ltr">&lt;<a href="mailto:jim.manico@owasp.org">jim.manico@owasp.org</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">




  

<div bgcolor="#ffffff" text="#000000">
This program (OWASP commercial services) totally freaks me out. It just
doesn't seem right to me on a number of levels.<br>
<br>
But, the core mission of OWASP is to make application security visible
- and companies are needing deeper solutions that Open Source alone
cannot provide today.<br>
<br>
So even though I have personal/emotional reservations to this
initiative - I do objectively support it and hope it stays something
positive for our community.<br>
<br>
- Jim<br>
<br>
<br>
<blockquote type="cite"><div><div></div><div class="h5">We already have in place of course the brand usage policy.
  <div><br>
  </div>
  <div>I think this is not so complicated as all that.</div>
  <div><br>
  </div>
  <div>This is no different than the jobs page. It is locked and
administered in the same way.</div>
  <div><br>
  </div>
  <div>All that we're shooting here for is a phone book, basically,
with a little bit of value add by compelling 1-2 sentence description
of approach.<br>
  <div><br clear="all">
Mike<br>
  <br>
  <br>
  <div class="gmail_quote">On Thu, May 13, 2010 at 7:05 PM, dinis cruz <span dir="ltr">&lt;<a href="mailto:dinis.cruz@owasp.org" target="_blank">dinis.cruz@owasp.org</a>&gt;</span>
wrote:<br>
  <blockquote class="gmail_quote" style="border-left:1px solid rgb(204, 204, 204);margin:0pt 0pt 0pt 0.8ex;padding-left:1ex">Hi
OWASP Leaders (CCing OWASP Global Education Committee, OWASP
Connections Committee and Mike Boberski (who is trying to figure out
the best way to implement the <a href="http://www.owasp.org/index.php/Commercial_Services" target="_blank">OWASP Commercial Services</a> idea))
    <div><br>
    </div>
    <div>Question for you.&nbsp;</div>
    <div><br>
    </div>
    <div>Given the following scenario:
    <div><br>
    </div>
    <div>"...</div>
    <div><i>Company XYZ is delivering&nbsp;commercially&nbsp;(i.e. paid for)
&nbsp;OWASP related courses, such as for example: "OWASP Top 10", "Using
OWASP WebGoat", "Performing security assessments using the OWASP
Testing Guide" , "How to use OpenSAMM in your organization", "OWASP
ESAPI" , "OWASP ASVS", etc... &nbsp;&nbsp;<br>
    <br>
    </i></div>
    <div><i>&nbsp;- these courses are independently delivered at "NON
OWASP&nbsp;organized"&nbsp;events (for example a developer's Conference or
bespoke training sessions)</i></div>
    <div><i>&nbsp;- attendees have to pay to attend (i.e. these are&nbsp;<span style="font-style:normal"><i>NOT FREE or 'OWASP only' events like
the one we <a href="http://www.owasp.org/index.php/London/Training/OWASP_projects_and_resources_you_can_use_TODAY" target="_blank">organized and delivered at the OWASP London Chapter</a>&nbsp;last
month)&nbsp;<span style="font-style:normal"><i>&nbsp;</i></span></i></span></i></div>
    <div><i>&nbsp;- there is no mandatory direct financial&nbsp;return for OWASP
(any payments back to OWASP (<span style="font-style:normal"><i>if
any at all)&nbsp;<span style="font-style:normal"><i>would have to be made
at the&nbsp;discretion&nbsp;of the&nbsp;organizing&nbsp;party)</i></span></i></span></i></div>
    <div><i><br>
    </i></div>
    <div><i>..."</i></div>
    <div><i><br>
    </i></div>
    <div><i><span style="font-style:normal">Given that a large part
of the potential (paying) audience for these courses is part of the&nbsp;<i><span style="font-style:normal">existing &nbsp;<i><span style="font-style:normal">OWASP community, namely the OWASP Mailing
lists and WIKI viewers, the&nbsp;organizing&nbsp;party would be
very&nbsp;interested&nbsp;to&nbsp;advertise&nbsp;to target OWASP project the course details
(curriculum, trainer, delivery date, price, location, etc...)</span></i></span></i></span></i></div>
    <div><i><span style="font-style:normal"><br>
    </span></i></div>
    <div><i><span style="font-style:normal">Since this is a new area
for OWASP, we have to make sure we handle this in a way that is
accepted/respected by our leaders and community.</span></i></div>
    <div><i><span style="font-style:normal"><br>
    </span></i></div>
    <div><i><span style="font-style:normal">So my question to you is:&nbsp;<i><span style="font-style:normal"><b>&nbsp;<br>
    <span style="font-size:large"><br>
What would anacceptable behaviour for the individuals or
companies&nbsp;organizing&nbsp;(and profiting) with these courses? <span style="font-weight:normal">(see Variation+Options below)</span></span></b></span></i></span></i></div>
    <div><br>
    </div>
    <div><i><span style="font-style:normal"><b>Variation A: the
course is delivered by the <u>Project's Leader</u>&nbsp;as an INDEPENDENT
Trainer</b>&nbsp;(this could also be a respected member of the OWASP
Community who: is an active/past contributor; is respected by its
peers; and is known to be <i><span style="font-style:normal"><i><span style="font-style:normal">very knowledgeable on the course's topic))</span></i></span></i></span></i></div>
    <div><i><span style="font-style:normal"><br>
    </span></i></div>
    <div><i><span style="font-style:normal">Should he/she be able to:&nbsp;</span></i></div>
    <div><i><span style="font-style:normal"><br>
    </span></i></div>
    <div><i><span style="font-style:normal"><b>&nbsp;&nbsp; Option 1: </b>Buy&nbsp;advertisement&nbsp;space
on <a href="http://www.owasp.org/" target="_blank">www.owasp.org</a> (i.e. the banner that shows up at
the top of the home page and the local chapters)</span></i></div>
    <div><i><span style="font-style:normal"><b>&nbsp;&nbsp;&nbsp;</b><i><span style="font-style:normal"><i><span style="font-style:normal"><b>Option</b></span></i><b>&nbsp;</b><i><span style="font-style:normal"><b>2:</b> Send an email with the course's
details to the respective OWASP mailing list (i.e. Top-10, WebGoat,
Testing Guide, openSamm, ESAPI, ASVS). Assume that this is done with
'good taste' (i.e no &nbsp;'snake oil' or super-sales pitch)</span></i></span></i></span></i></div>
    <div><i><span style="font-style:normal"><b>&nbsp;&nbsp;&nbsp;</b><i><span style="font-style:normal"><i><span style="font-style:normal"><b>Option</b></span></i><b>&nbsp;</b><i><span style="font-style:normal"><b>3:</b> Include a mention to it at the
next OWASP Newsletter</span></i></span></i></span></i></div>
    <div><i><span style="font-style:normal"><b>&nbsp;&nbsp;&nbsp;</b><i><span style="font-style:normal"><b>Option 4:</b></span></i>&nbsp;Put a direct
link to it from the respective OWASP Project (maybe on a section
dedicated to these type of events)</span></i></div>
    <div><i><span style="font-style:normal"><b>&nbsp;&nbsp;&nbsp;</b><i><span style="font-style:normal"><b>Option 5:</b><i><span style="font-style:normal">&nbsp;Put a&nbsp;<i><span style="font-style:normal">direct
link from a Training page on the&nbsp;<a href="http://www.owasp.org/index.php/Commercial_Services" target="_blank">OWASP Commercial Services</a>&nbsp;section of the OWASP
website</span></i></span></i></span></i></span></i></div>
    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><br>
    </span></i></span></i></div>
    <div><b><span style="font-weight:normal"><i><span style="font-style:normal"><b><br>
    </b></span></i></span></b></div>
    <div><b><span style="font-weight:normal"><i><span style="font-style:normal"><b>Variation B: the course is delivered by
the&nbsp;<u>Project's Leader</u>&nbsp;as a hired employee/contractor for a 3rd
party company</b></span></i></span></b></div>
    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><br>
    </span></i></span></i></div>
    <div><i><span style="font-style:normal"><i><span style="font-style:normal">(same 5 Options from Variation A)</span></i></span></i></div>
    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><br>
    </span></i></span></i></div>
    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><br>
    </b></span></i></span></i></span></i></div>
    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b>Variation
C:&nbsp;the course is delivered by an existing <a href="http://www.owasp.org/index.php/Membership#Current_OWASP_Organization_Supporters_.26_Individual_Members" target="_blank">OWASP Corporate Member or Education Supporter</a>&nbsp;</b>(Company,
University, etc..)</span></i></span></i></span></i></div>
    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><br>
    </b></span></i></span></i></span></i></div>
    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal"><i><span style="font-style:normal"><i><span style="font-style:normal">(same 5 Options from Variation A)</span></i></span></i></span></b></span></i></span></i></span></i></div>


    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><br>


    </span></i></span></i></span></b></span></i></span></i></span></i></div>
    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><br>


    </b></span></i></span></i></span></i></span></b></span></i></span></i></span></i></div>
    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b>Variation
D:&nbsp;the course is delivered by an a Governmental&nbsp;Organization that is
involved with OWASP </b>(for example the Brazilian Government who
sponsored last year's OWASP Conference in Brazil)</span></i></span></i></span></i></span></b></span></i></span></i></span></i></div>
    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><br>
    </b></span></i></span></i></span></i></div>
    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal"><i><span style="font-style:normal"><i><span style="font-style:normal">(same 5 Options from Variation A)</span></i></span></i></span></b></span></i></span></i></span></i></div>


    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal">
    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><br>
    </b></span></i></span></i></span></i></div>
    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal">
    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><br>


    </b></span></i></span></i></span></i></span></b></span></i></span></i></span></i></div>
    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b>Variation
D:&nbsp;the course is delivered by an a Governmental&nbsp;Organization that is
NOT part of the OWASP Community&nbsp;</b></span></i></span></i></span></i></span></b></span></i></span></i></span></i></div>
    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><br>
    </b></span></i></span></i></span></i></div>
    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal"><i><span style="font-style:normal"><i><span style="font-style:normal">(same 5 Options from Variation A)</span></i></span></i></span></b></span></i></span></i></span></i></div>


    </span></b></span></i></span></i></span></i></div>
    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><br>
    </b></span></i></span></i></span></i></div>
    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal">
    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal">
    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><br>


    </b></span></i></span></i></span></i></span></b></span></i></span></i></span></i></div>
    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b>Variation
E:&nbsp;the course is delivered by an a Industry Body&nbsp;<span style="font-weight:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal">
    <div style="display:inline ! important"><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal">
    <div style="display:inline ! important"><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal">
    <div style="display:inline ! important"><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal">
    <div style="display:inline ! important"><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b>that is NOT part of the OWASP Community
    </b>(for example lets say that the PCI Council decided to sell (and
profit) from the delivery of OWASP Top 10 courses)</span></i></span></i></span></i></span></b></span></i></span></i></span></i></div>
    </span></b></span></i></span></i></span></i></div>
    </span></b></span></i></span></i></span></i></span></b></span></i></span></i></span></i></div>
    </span></b></span></i></span></i></span></i></span></b></span></i></span></i></span></i></div>
    </span></b></span></i></span></i></span></i></span></b></span></i></span></i></span></i></span></b></span></i></span></i></span></i></div>
    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><br>
    </b></span></i></span></i></span></i></div>
    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal"><i><span style="font-style:normal"><i><span style="font-style:normal">(same 5 Options from Variation A)</span></i></span></i></span></b></span></i></span></i></span></i></div>


    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><br>


    </span></i></span></i></span></b></span></i></span></i></span></i></div>
    </span></b></span></i></span></i></span></i></div>
    </span></b></span></i></span></i></span></i></span></b></span></i></span></i></span></i></div>
    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><br>
    </b></span></i></span></i></span></i></div>
    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b>Variation
F:&nbsp;the course is delivered by a company/individual that is NOT part of
the OWASP Community </b>(i.e. not a member,&nbsp;trainer&nbsp;is not an OWASP
Leader, nobody has really heard of them before)</span></i></span></i></span></i></div>
    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><br>
    </b></span></i></span></i></span></i></div>
    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal"><i><span style="font-style:normal"><i><span style="font-style:normal">(same 5 Options from Variation A)</span></i></span></i></span></b></span></i></span></i></span></i></div>


    </span></b></span></i></span></i></span></i></div>
    <div><br>
    </div>
    <div><br>
    </div>
    <div>------------------------------------------------------------------------------------</div>
    <div><br>
    </div>
    <div>Taking into account that we want as many people to be exposed
to OWASP materials and that there should be a direct relationship
between the success of these courses and the market penetration of the
affected OWASP Projects ..... &nbsp;from your point of view, which
Variation+Options listed above:</div>
    <div><br>
    </div>
    <div>&nbsp;&nbsp; i) are compatible with OWASP's values/independence&nbsp;and
SHOULD be allowed (but monitored to prevent abuses)</div>
    <div>&nbsp;&nbsp; ii) are NOT compatible with OWASP's values and SHOULD NOT
be allowed</div>
    <div>&nbsp;&nbsp;iii) should only be allowed with 'somebody' (GEC, OWASP
Board, Project leader) permission / validation</div>
    <div>&nbsp;&nbsp;iv) should be allowed, BUT with the information located at a
very specific locations (for example what happens with the the OWASP <a href="http://www.owasp.org/index.php/OWASP_Jobs" target="_blank">Job Board</a> or the&nbsp;<a href="http://www.owasp.org/index.php/Commercial_Services" target="_blank">OWASP Commercial Services</a>)</div>


    <div><br>
    </div>
    <div>Looking forward to hearing your answers and points of view</div>
    <div><br>
Dinis Cruz<br>
    </div>
    <div>OWASP Board Member</div>
    </div>
  </blockquote>
  </div>
  <br>
  </div>
  </div>
  </div></div><pre><fieldset></fieldset>
_______________________________________________
OWASP-Leaders mailing list
<div class="im"><a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a>
  </div></pre>
</blockquote>
<br>
<br>
<pre cols="72">-- 
Jim Manico
OWASP Podcast Host/Producer
OWASP ESAPI Project Manager
<a href="http://www.manico.net/" target="_blank">http://www.manico.net</a></pre>
</div>

</blockquote></div><br></div></div>
_______________________________________________<br>OWASP-Leaders mailing list<br><a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>https://lists.owasp.org/mailman/listinfo/owasp-leaders<br></blockquote></div><br></body></html>