<meta charset="utf-8"><span class="Apple-style-span" style="font-family: Helvetica; font-size: medium; ">&quot;OWASP community supporters&quot; would not be applicable on most (probably all) of the proposed scenarios since the idea is to find a way to connect the comercial services provided by core OWASP Contributors/leaders/members with OWASP, in a way that is accepted by the community and doesn&#39;t compromise OWASP independence.</span><div>
<span class="Apple-style-span" style="font-family: Helvetica; font-size: medium; "><br></span></div><div><span class="Apple-style-span" style="font-family: Helvetica; font-size: medium; ">In fact that is sort of what we are currently trying to do at the <a href="http://www.owasp.org/index.php/OWASP_for_Charities">http://www.owasp.org/index.php/OWASP_for_Charities</a> project (led by Daniel C)</span><div>
<font class="Apple-style-span" face="Helvetica"><span class="Apple-style-span" style="font-size: medium;"><br></span></font></div><div><font class="Apple-style-span" face="Helvetica"><span class="Apple-style-span" style="font-size: medium;">What we have to take into account is this <i>&quot;Who is doing Commercial Services around OWASP&quot;</i> issue/discussion/problem s already happening today (but there are no rules of engagement, abuses happen occasionally and there is no way to leverage it in a way that is beneficial to OWASP)<br clear="all">
</span></font><br>Dinis Cruz<br><br>Blog: <a href="http://diniscruz.blogspot.com">http://diniscruz.blogspot.com</a><br>Twitter: <a href="http://twitter.com/DinisCruz">http://twitter.com/DinisCruz</a><br>Web: <a href="http://www.owasp.org/index.php/O2">http://www.owasp.org/index.php/O2</a><br>

<br><br><div class="gmail_quote">On 22 May 2010 01:47, Tom Brennan <span dir="ltr">&lt;<a href="mailto:tomb@owasp.org">tomb@owasp.org</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
<div style="word-wrap:break-word"><div><br></div><div><span style="border-collapse:separate;color:rgb(0, 0, 0);font-family:Helvetica;font-size:medium;font-style:normal;font-variant:normal;font-weight:normal;letter-spacing:normal;line-height:normal;text-align:auto;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px">Perhaps &quot;OWASP community supporters&quot;  vs . &quot;OWASP commercial service&quot;<br>
<br><br></span>
</div><div><div></div><div class="h5">
<br><div><div>On May 13, 2010, at 8:20 PM, Mike Boberski wrote:</div><br><blockquote type="cite">There are a number of other comparable examples, ranging from Common Criteria, FIPS 140, to Drupal.<div><br></div><div>There are NO mechanisms that allows a listed company to interfere with any OWASP project or function, exactly as there are none for job listings. </div>


<div><br></div><div>The approach taken has been painstakingly designed to align with OWASP&#39;s mission.<br><div><br clear="all">Mike<br>
<br><br><div class="gmail_quote">On Thu, May 13, 2010 at 8:19 PM, Jim Manico <span dir="ltr">&lt;<a href="mailto:jim.manico@owasp.org" target="_blank">jim.manico@owasp.org</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">





  

<div bgcolor="#ffffff" text="#000000">
This program (OWASP commercial services) totally freaks me out. It just
doesn&#39;t seem right to me on a number of levels.<br>
<br>
But, the core mission of OWASP is to make application security visible
- and companies are needing deeper solutions that Open Source alone
cannot provide today.<br>
<br>
So even though I have personal/emotional reservations to this
initiative - I do objectively support it and hope it stays something
positive for our community.<br>
<br>
- Jim<br>
<br>
<br>
<blockquote type="cite"><div><div></div><div>We already have in place of course the brand usage policy.
  <div><br>
  </div>
  <div>I think this is not so complicated as all that.</div>
  <div><br>
  </div>
  <div>This is no different than the jobs page. It is locked and
administered in the same way.</div>
  <div><br>
  </div>
  <div>All that we&#39;re shooting here for is a phone book, basically,
with a little bit of value add by compelling 1-2 sentence description
of approach.<br>
  <div><br clear="all">
Mike<br>
  <br>
  <br>
  <div class="gmail_quote">On Thu, May 13, 2010 at 7:05 PM, dinis cruz <span dir="ltr">&lt;<a href="mailto:dinis.cruz@owasp.org" target="_blank">dinis.cruz@owasp.org</a>&gt;</span>
wrote:<br>
  <blockquote class="gmail_quote" style="border-left:1px solid rgb(204, 204, 204);margin:0pt 0pt 0pt 0.8ex;padding-left:1ex">Hi
OWASP Leaders (CCing OWASP Global Education Committee, OWASP
Connections Committee and Mike Boberski (who is trying to figure out
the best way to implement the <a href="http://www.owasp.org/index.php/Commercial_Services" target="_blank">OWASP Commercial Services</a> idea))
    <div><br>
    </div>
    <div>Question for you. </div>
    <div><br>
    </div>
    <div>Given the following scenario:
    <div><br>
    </div>
    <div>&quot;...</div>
    <div><i>Company XYZ is delivering commercially (i.e. paid for)
 OWASP related courses, such as for example: &quot;OWASP Top 10&quot;, &quot;Using
OWASP WebGoat&quot;, &quot;Performing security assessments using the OWASP
Testing Guide&quot; , &quot;How to use OpenSAMM in your organization&quot;, &quot;OWASP
ESAPI&quot; , &quot;OWASP ASVS&quot;, etc...   <br>
    <br>
    </i></div>
    <div><i> - these courses are independently delivered at &quot;NON
OWASP organized&quot; events (for example a developer&#39;s Conference or
bespoke training sessions)</i></div>
    <div><i> - attendees have to pay to attend (i.e. these are <span style="font-style:normal"><i>NOT FREE or &#39;OWASP only&#39; events like
the one we <a href="http://www.owasp.org/index.php/London/Training/OWASP_projects_and_resources_you_can_use_TODAY" target="_blank">organized and delivered at the OWASP London Chapter</a> last
month) <span style="font-style:normal"><i> </i></span></i></span></i></div>
    <div><i> - there is no mandatory direct financial return for OWASP
(any payments back to OWASP (<span style="font-style:normal"><i>if
any at all) <span style="font-style:normal"><i>would have to be made
at the discretion of the organizing party)</i></span></i></span></i></div>
    <div><i><br>
    </i></div>
    <div><i>...&quot;</i></div>
    <div><i><br>
    </i></div>
    <div><i><span style="font-style:normal">Given that a large part
of the potential (paying) audience for these courses is part of the <i><span style="font-style:normal">existing  <i><span style="font-style:normal">OWASP community, namely the OWASP Mailing
lists and WIKI viewers, the organizing party would be
very interested to advertise to target OWASP project the course details
(curriculum, trainer, delivery date, price, location, etc...)</span></i></span></i></span></i></div>
    <div><i><span style="font-style:normal"><br>
    </span></i></div>
    <div><i><span style="font-style:normal">Since this is a new area
for OWASP, we have to make sure we handle this in a way that is
accepted/respected by our leaders and community.</span></i></div>
    <div><i><span style="font-style:normal"><br>
    </span></i></div>
    <div><i><span style="font-style:normal">So my question to you is: <i><span style="font-style:normal"><b> <br>
    <span style="font-size:large"><br>
What would anacceptable behaviour for the individuals or
companies organizing (and profiting) with these courses? <span style="font-weight:normal">(see Variation+Options below)</span></span></b></span></i></span></i></div>
    <div><br>
    </div>
    <div><i><span style="font-style:normal"><b>Variation A: the
course is delivered by the <u>Project&#39;s Leader</u> as an INDEPENDENT
Trainer</b> (this could also be a respected member of the OWASP
Community who: is an active/past contributor; is respected by its
peers; and is known to be <i><span style="font-style:normal"><i><span style="font-style:normal">very knowledgeable on the course&#39;s topic))</span></i></span></i></span></i></div>
    <div><i><span style="font-style:normal"><br>
    </span></i></div>
    <div><i><span style="font-style:normal">Should he/she be able to: </span></i></div>
    <div><i><span style="font-style:normal"><br>
    </span></i></div>
    <div><i><span style="font-style:normal"><b>   Option 1: </b>Buy advertisement space
on <a href="http://www.owasp.org/" target="_blank">www.owasp.org</a> (i.e. the banner that shows up at
the top of the home page and the local chapters)</span></i></div>
    <div><i><span style="font-style:normal"><b>   </b><i><span style="font-style:normal"><i><span style="font-style:normal"><b>Option</b></span></i><b> </b><i><span style="font-style:normal"><b>2:</b> Send an email with the course&#39;s
details to the respective OWASP mailing list (i.e. Top-10, WebGoat,
Testing Guide, openSamm, ESAPI, ASVS). Assume that this is done with
&#39;good taste&#39; (i.e no  &#39;snake oil&#39; or super-sales pitch)</span></i></span></i></span></i></div>
    <div><i><span style="font-style:normal"><b>   </b><i><span style="font-style:normal"><i><span style="font-style:normal"><b>Option</b></span></i><b> </b><i><span style="font-style:normal"><b>3:</b> Include a mention to it at the
next OWASP Newsletter</span></i></span></i></span></i></div>
    <div><i><span style="font-style:normal"><b>   </b><i><span style="font-style:normal"><b>Option 4:</b></span></i> Put a direct
link to it from the respective OWASP Project (maybe on a section
dedicated to these type of events)</span></i></div>
    <div><i><span style="font-style:normal"><b>   </b><i><span style="font-style:normal"><b>Option 5:</b><i><span style="font-style:normal"> Put a <i><span style="font-style:normal">direct
link from a Training page on the <a href="http://www.owasp.org/index.php/Commercial_Services" target="_blank">OWASP Commercial Services</a> section of the OWASP
website</span></i></span></i></span></i></span></i></div>
    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><br>
    </span></i></span></i></div>
    <div><b><span style="font-weight:normal"><i><span style="font-style:normal"><b><br>
    </b></span></i></span></b></div>
    <div><b><span style="font-weight:normal"><i><span style="font-style:normal"><b>Variation B: the course is delivered by
the <u>Project&#39;s Leader</u> as a hired employee/contractor for a 3rd
party company</b></span></i></span></b></div>
    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><br>
    </span></i></span></i></div>
    <div><i><span style="font-style:normal"><i><span style="font-style:normal">(same 5 Options from Variation A)</span></i></span></i></div>
    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><br>
    </span></i></span></i></div>
    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><br>
    </b></span></i></span></i></span></i></div>
    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b>Variation
C: the course is delivered by an existing <a href="http://www.owasp.org/index.php/Membership#Current_OWASP_Organization_Supporters_.26_Individual_Members" target="_blank">OWASP Corporate Member or Education Supporter</a> </b>(Company,
University, etc..)</span></i></span></i></span></i></div>
    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><br>
    </b></span></i></span></i></span></i></div>
    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal"><i><span style="font-style:normal"><i><span style="font-style:normal">(same 5 Options from Variation A)</span></i></span></i></span></b></span></i></span></i></span></i></div>



    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><br>



    </span></i></span></i></span></b></span></i></span></i></span></i></div>
    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><br>



    </b></span></i></span></i></span></i></span></b></span></i></span></i></span></i></div>
    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b>Variation
D: the course is delivered by an a Governmental Organization that is
involved with OWASP </b>(for example the Brazilian Government who
sponsored last year&#39;s OWASP Conference in Brazil)</span></i></span></i></span></i></span></b></span></i></span></i></span></i></div>
    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><br>
    </b></span></i></span></i></span></i></div>
    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal"><i><span style="font-style:normal"><i><span style="font-style:normal">(same 5 Options from Variation A)</span></i></span></i></span></b></span></i></span></i></span></i></div>



    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal">
    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><br>
    </b></span></i></span></i></span></i></div>
    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal">
    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><br>



    </b></span></i></span></i></span></i></span></b></span></i></span></i></span></i></div>
    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b>Variation
D: the course is delivered by an a Governmental Organization that is
NOT part of the OWASP Community </b></span></i></span></i></span></i></span></b></span></i></span></i></span></i></div>
    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><br>
    </b></span></i></span></i></span></i></div>
    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal"><i><span style="font-style:normal"><i><span style="font-style:normal">(same 5 Options from Variation A)</span></i></span></i></span></b></span></i></span></i></span></i></div>



    </span></b></span></i></span></i></span></i></div>
    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><br>
    </b></span></i></span></i></span></i></div>
    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal">
    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal">
    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><br>



    </b></span></i></span></i></span></i></span></b></span></i></span></i></span></i></div>
    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b>Variation
E: the course is delivered by an a Industry Body <span style="font-weight:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal">
    <div style="display:inline ! important"><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal">
    <div style="display:inline ! important"><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal">
    <div style="display:inline ! important"><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal">
    <div style="display:inline ! important"><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b>that is NOT part of the OWASP Community
    </b>(for example lets say that the PCI Council decided to sell (and
profit) from the delivery of OWASP Top 10 courses)</span></i></span></i></span></i></span></b></span></i></span></i></span></i></div>
    </span></b></span></i></span></i></span></i></div>
    </span></b></span></i></span></i></span></i></span></b></span></i></span></i></span></i></div>
    </span></b></span></i></span></i></span></i></span></b></span></i></span></i></span></i></div>
    </span></b></span></i></span></i></span></i></span></b></span></i></span></i></span></i></span></b></span></i></span></i></span></i></div>
    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><br>
    </b></span></i></span></i></span></i></div>
    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal"><i><span style="font-style:normal"><i><span style="font-style:normal">(same 5 Options from Variation A)</span></i></span></i></span></b></span></i></span></i></span></i></div>



    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><br>



    </span></i></span></i></span></b></span></i></span></i></span></i></div>
    </span></b></span></i></span></i></span></i></div>
    </span></b></span></i></span></i></span></i></span></b></span></i></span></i></span></i></div>
    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><br>
    </b></span></i></span></i></span></i></div>
    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b>Variation
F: the course is delivered by a company/individual that is NOT part of
the OWASP Community </b>(i.e. not a member, trainer is not an OWASP
Leader, nobody has really heard of them before)</span></i></span></i></span></i></div>
    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><br>
    </b></span></i></span></i></span></i></div>
    <div><i><span style="font-style:normal"><i><span style="font-style:normal"><i><span style="font-style:normal"><b><span style="font-weight:normal"><i><span style="font-style:normal"><i><span style="font-style:normal">(same 5 Options from Variation A)</span></i></span></i></span></b></span></i></span></i></span></i></div>



    </span></b></span></i></span></i></span></i></div>
    <div><br>
    </div>
    <div><br>
    </div>
    <div>------------------------------------------------------------------------------------</div>
    <div><br>
    </div>
    <div>Taking into account that we want as many people to be exposed
to OWASP materials and that there should be a direct relationship
between the success of these courses and the market penetration of the
affected OWASP Projects .....  from your point of view, which
Variation+Options listed above:</div>
    <div><br>
    </div>
    <div>   i) are compatible with OWASP&#39;s values/independence and
SHOULD be allowed (but monitored to prevent abuses)</div>
    <div>   ii) are NOT compatible with OWASP&#39;s values and SHOULD NOT
be allowed</div>
    <div>  iii) should only be allowed with &#39;somebody&#39; (GEC, OWASP
Board, Project leader) permission / validation</div>
    <div>  iv) should be allowed, BUT with the information located at a
very specific locations (for example what happens with the the OWASP <a href="http://www.owasp.org/index.php/OWASP_Jobs" target="_blank">Job Board</a> or the <a href="http://www.owasp.org/index.php/Commercial_Services" target="_blank">OWASP Commercial Services</a>)</div>



    <div><br>
    </div>
    <div>Looking forward to hearing your answers and points of view</div>
    <div><br>
Dinis Cruz<br>
    </div>
    <div>OWASP Board Member</div>
    </div>
  </blockquote>
  </div>
  <br>
  </div>
  </div>
  </div></div><pre><fieldset></fieldset>
_______________________________________________
OWASP-Leaders mailing list
<div><a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a>
  </div></pre>
</blockquote>
<br>
<br>
<pre cols="72">-- 
Jim Manico
OWASP Podcast Host/Producer
OWASP ESAPI Project Manager
<a href="http://www.manico.net/" target="_blank">http://www.manico.net</a></pre>
</div>

</blockquote></div><br></div></div>
_______________________________________________<br>OWASP-Leaders mailing list<br><a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br><a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
</blockquote></div><br></div></div></div><br>_______________________________________________<br>
Global_education_committee mailing list<br>
<a href="mailto:Global_education_committee@lists.owasp.org">Global_education_committee@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/global_education_committee" target="_blank">https://lists.owasp.org/mailman/listinfo/global_education_committee</a><br>
<br></blockquote></div><br></div></div>