Hi, firstly I would like to thank your support in this thread (specially to Michael who provided a great analysis (included below))<br><br>Following the feedback provided (namely that you were OK with the Subscription model but asked to remove the OWASP membership stuff), I&#39;ve just launched an updated model which you can read on this blog entry <a href="http://diniscruz.blogspot.com/2010/10/update-on-o2-subscription-model.html" target="_blank">Update on O2 Subscription Model</a> and see on this <a href="http://s3.amazonaws.com/O2_MiscFiles/O2++-+Commercial+Services+%28AppSec+DC%29.pdf" title="http://s3.amazonaws.com/O2_MiscFiles/O2++-+Commercial+Services+(AppSec+DC).pdf" rel="nofollow" target="_blank">O2 - Commercial Services presentation</a>
 <br><br>(As with the previous version please note that this is an OWASP experiment. We are trying to figure
 out a funding model for OWASP Projects (with O2 leading the way, but 
more to follow))<br>

<br>Now that I have been living with this idea for a while (and the fact that finally people understand my answer to <i>&#39;What is O2 and what are you seeling?&#39;</i>) I think that the <i>&#39;Open Source Tool/API Customization per Subscriber&#39;</i>
 model (where each subscriber gets a targeted version) could actually be
 a great funding model not only for OWASP projects but also for other 
Open Source projects/APIs (including the many that O2 consumes/exposes). What do you think?<br><br>Dinis Cruz<br>
<br><br><div class="gmail_quote">On 10 August 2010 18:53, Michael Coates <span dir="ltr">&lt;<a href="mailto:michael.coates@owasp.org">michael.coates@owasp.org</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">


  
    
    
  
  <div bgcolor="#ffffff" text="#000000">
    To my knowledge, this is the first OWASP project that has attempted
    a financing model.  It is important for us (OWASP leaders) to be
    open and communicate the correct ways for OWASP projects to offer
    services that are not free.  Below I&#39;ve included the OWASP
    principles and my thoughts on their relation to Dinis&#39;s idea. <br>
    <br>
    OWASP Principles -
<a href="http://www.owasp.org/index.php/About_The_Open_Web_Application_Security_Project" target="_blank">http://www.owasp.org/index.php/About_The_Open_Web_Application_Security_Project</a><br>
    <br>
    <b>Free &amp; Open</b><br>
    As Dinis mentioned, his code is open to everyone at no charge.  The
    O2 tool can be downloaded and used without paying any of the
    subscription fees. No problem here.<br>
    <br>
    <b>Governed by rough consensus &amp; running code
    </b><br>
    Not relevant to this issue except that the overall consensus of the
    OWASP leaders should be considered.<br>
    <br>
    <b>Abide by a code of ethics </b><br>
    No problems here<br>
    <br>
    <b>Not-for-profit
    </b><br>
    OWASP itself is not for profit. But what about individual projects?
    The O2 project is rightfully (in my opinion) charging for Dinis&#39;s
    time to offer premium support to commercial customers. Many of us,
    Dinis included, volunteer large amounts of time to OWASP. However,
    volunteering and providing commercial grade support or two totally
    different things. This is a fine move in my opinion.  Many companies
    will not adopt an open source software if a formal support policy
    cannot be established.  So although I don&#39;t personally have any
    problems here, how do we reconcile this situation with our
    principles?  Perhaps the answer is related to point #2 (rough
    consensus) and this sort of email discussion<br>
    <br>
    <b>Not driven by commercial interests</b><br>
    Although O2 technically would become &quot;commercial&quot; in a small way I
    don&#39;t see any problem here. This item is meant to address the
    overall objectivity of OWASP in always promoting the best security
    advice that is not tainted by a particular company&#39;s motivation.<br>
    <b><br>
      Risk based approach<br>
    </b>Not a problem. In fact O2 reinforces this principle.<br>
    <br>
    <br>
    Overall I think Dinis&#39;s approach to a subscription model for support
    is not a problem. This model is used by other open source
    organizations such as red hat
    (<a href="https://www.redhat.com/wapps/store/catalog.html" target="_blank">https://www.redhat.com/wapps/store/catalog.html</a>). In fact, if we
    want OWASP to continue to grow then I think we need to support these
    types of initiatives. Otherwise our tools and processes may be
    ignored by many companies that require these types of formal
    relationships.<br>
    <br>
    However, I do have concerns about bundling owasp membership with the
    subscription plan.  On one hand it does help get more companies
    involved with OWASP (yay) but on the other it undermines Dinis&#39;s
    final disclaimer of &quot;
    
    Note that this is NOT a service provided by OWASP and the OWASP
    foundation has no direct involvement or responsibility in the
    delivery or fulfillment of these subscriptions&quot;. <br>
    <br>
    Are we happy with this bundling model? Consider company X that
    offers a web security scanning service. The service itself may be
    awesome or total garbage. Either way, would we be happy with a big
    commercial entity offering a subscription plan that included OWASP
    corporate membership? Presumably the company would just subtract $5k
    from their subscription fee and use that to cover the OWASP
    corporate supporter cost to OWASP. <br>
    <br>
    In the end OWASP is getting more corporate supporters, but we are
    doing that at the expense of our OWASP brand.  I think this is a
    long term loss for OWASP - since our brand and vendor neutral stance
    is what makes OWASP awesome and a trusted source for information.<br>
    <b><br>
      Conclusion<br>
    </b>
    <ul>
      <li>I support Dinis&#39;s plan to offer a subscription service for
        commercial support of O2 and believe this type of model is
        necessary to take OWASP projects to the next level<br>
      </li>
      <li>I believe this is inline with OWASP principles</li>
      <li>I don&#39;t support the bundling of OWASP membership with a
        subscription plan. I believe bundling will ultimately weaken the
        OWASP brand (not because of Dinis&#39;s use with O2, but because of
        the future uses that would occur as a result of this precedent)</li>
    </ul>
    <b>Thought from others?</b><br>
    <pre cols="72">Michael Coates
OWASP</pre><div><div></div><div class="h5">
    <br>
    On 8/10/10 7:18 AM, dinis cruz wrote:
    </div></div><blockquote type="cite"><div><div></div><div class="h5">
      <pre>Hi

Yesterday I just posted/bloged about one of the final pieces of the O2
Platform business model: An subscription model for companies that wish to
provide commercial services around O2 and need proper support from the O2
Platform main developers.

You can read the details here
<a href="http://diniscruz.blogspot.com/2010/08/new-o2-subscription-model.html" target="_blank">http://diniscruz.blogspot.com/2010/08/new-o2-subscription-model.html</a> and as
with the O2 Pledges (<a href="http://o2platform.com/wiki/O2_Pledges" target="_blank">http://o2platform.com/wiki/O2_Pledges</a>) this is a first
experiment at trying to create a funding model for Open Source development
(which should eventually be replicated by a number of other OWASP projects)

As you will see in the the Subscription model, I added a number of
OWASP-related-items since I think that it should be easier for companies to
join OWASP as member if they do it via active participation on an OWASP
Project

I also think (please confirm) that what I&#39;m proposing is 100% compatible
with OWASP&#39;s values and licensing model (all code is open and the only
&#39;closed items&#39; are either customer specific (and most likely could never be
published anyway) or are &#39;time sensitive&#39;)

Let me know what you think

Dinis Cruz

</pre>
      </div></div><pre><fieldset></fieldset>
_______________________________________________
OWASP-Leaders mailing list
<div class="im"><a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a>
</div></pre>
    </blockquote>
  </div>

</blockquote></div><br>