What is interesting about John&#39;s views, is that it only represents one (of the multiple) ecosystems/communities that lives inside OWASP.<div><br></div><div>That said, I think he is spot on in his analysis, and that OWASP needs to be very careful in how handles its &#39;bees&#39; (using the analogy of the 1995 article) since this community is the one that creates most &#39;assets&#39; that OWASP has.</div>
<div><br></div><div>OWASP is VERY wide and (fortunately) it covers a huge spectrum of people, interests, knowledge areas , technologies and focus. For example, there are other <meta charset="utf-8">ecosystems/communities at OWASP that need complete difference approaches, process and procedures (Government, John Steven&#39;s crowd, CIO&#39;s, QA departments, students, teachers, appsec product vendors, etc...)</div>
<div><br></div><div>Part of the reason I stepped down from the board is due to the fact that I realized that most OWASP leaders didn&#39;t realized/understood how I operated and I got things done at OWASP. And that was OK in the past, but recently It was creating too many allergic reactions.</div>
<div><br></div><div>Using the bees analogy, I think I was a good bee keeper and was able to find creative ways to find, motivate and blossom the OWASP bees :)</div><div><br></div><div>In fact, what I always found ironic, was that one of the most common complains that I received directly (or was made behind my back) was that I was too chaotic, disorganized and didn&#39;t &#39;listen&#39; to others.</div>
<div><br></div><div>When in fact, if you actually looked closely (or in hindsight), some of the activities that I was responsible for creating and implementing at OWASP, had multi-layer strategy and where some of our most organized and professionally executed activities. For example the last <a href="http://www.owasp.org/index.php/OWASP_Summer_of_Code_2008">OWASP Season of Code</a> or the <a href="http://www.owasp.org/index.php/OWASP_Summit_2011">Summit 2011</a></div>
<div><br>Dinis Cruz<br><br><div class="gmail_quote">On 14 February 2011 13:30, Seba <span dir="ltr">&lt;<a href="mailto:seba@owasp.org">seba@owasp.org</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
John,<br>
<br>
You are hitting the nail on the head!<br>
The challenge of further building the OWASP &#39;platform&#39; is to make sure<br>
developers and people with creative idea&#39;s feel at home.<br>
One of the basic principles should be that the services provided by<br>
OWASP are always opt-in and never try to &#39;harnass&#39; the project/chapter<br>
leaders into stringent project or governance rules.<br>
<font color="#888888"><br>
--Seba<br>
</font><div><div></div><div class="h5"><br>
On Mon, Feb 14, 2011 at 2:15 PM, John Wilander &lt;<a href="mailto:john.wilander@owasp.org">john.wilander@owasp.org</a>&gt; wrote:<br>
&gt; 2011/2/14 Konstantinos Papapanagiotou &lt;<a href="mailto:conpap@di.uoa.gr">conpap@di.uoa.gr</a>&gt;<br>
&gt;&gt;<br>
&gt;&gt; John,<br>
&gt;&gt;<br>
&gt;&gt; I don&#39;t mean to underestimate the value that tech people and<br>
&gt;&gt; corresponding projects bring to an organization like OWASP but if we<br>
&gt;&gt; want to reach out to governments, standards organizations and key<br>
&gt;&gt; industry players we need those formal document-policy-oriented<br>
&gt;&gt; projects because that&#39;s the language that they understand.<br>
&gt;<br>
&gt; I too think we need document and policy-oriented projects. But making OWASP<br>
&gt; itself more formal will fend off tech people.<br>
&gt;<br>
&gt; When a community hero as Michal Zalewski starts an email with &quot;Oh, that<br>
&gt; OWASP thing still around?;-)&quot; I get worried.<br>
&gt;<br>
&gt; I&#39;ve seen it happen loads of times. A bunch of enthusiastic people start a<br>
&gt; community. Some are technically driven and publish a lot of code and/or<br>
&gt; tools. Then comes the process, policy, and document people to provide<br>
&gt; structure. That far, all good. But the structure people attract more<br>
&gt; structure people who in turn attract more document people. Suddenly the code<br>
&gt; people feel alienated and leave.<br>
&gt;<br>
&gt; Read &quot;How Software Companies Die&quot; by Orson Scott Card (1995) and you&#39;ll<br>
&gt; understand what I mean. Relevant excerpts:<br>
&gt;<br>
&gt; Here&#39;s the secret that every successful software company is based on: You<br>
&gt; can domesticate programmers the way beekeepers tame bees. You can&#39;t exactly<br>
&gt; communicate with them, but you can get them to swarm in one place and when<br>
&gt; they&#39;re not looking, you can carry off the honey.<br>
&gt;<br>
&gt; Here&#39;s the problem that ends up killing company after company. All<br>
&gt; successful software companies had, as their dominant personality, a leader<br>
&gt; who nurtured programmers. But no company can keep such a leader forever.<br>
&gt; Either he cashes out, or he brings in management types who end up driving<br>
&gt; him out, or he changes and becomes a management type himself. One way or<br>
&gt; another, marketers get control.<br>
&gt;<br>
&gt; But...control of what? Instead of finding assembly lines of productive<br>
&gt; workers, they quickly discover that their product is produced by utterly<br>
&gt; unpredictable, uncooperative, disobedient, and worst of all, unattractive<br>
&gt; people who resist all attempts at management. Put them on a time clock,<br>
&gt; dress them in suits, and they become sullen and start sabotaging the<br>
&gt; product. Worst of all, you can sense that they are making fun of you with<br>
&gt; every word they say.<br>
&gt;<br>
&gt; The shock is greater for the coder, though. He suddenly finds that alien<br>
&gt; creatures control his life. Meetings, Schedules, Reports. And now someone<br>
&gt; demands that he PLAN all his programming and then stick to the plan, never<br>
&gt; improving, never tweaking, and never, never touching some other team&#39;s code.<br>
&gt;<br>
&gt; <a href="http://www.zoion.com/~erlkonig/writings/programmer-beekeeping.html" target="_blank">http://www.zoion.com/~erlkonig/writings/programmer-beekeeping.html</a><br>
&gt;<br>
&gt;    Regards, John<br>
&gt;<br>
&gt; --<br>
&gt; John Wilander, <a href="https://twitter.com/johnwilander" target="_blank">https://twitter.com/johnwilander</a><br>
&gt; Chapter co-leader OWASP Sweden, <a href="http://owaspsweden.blogspot.com" target="_blank">http://owaspsweden.blogspot.com</a><br>
&gt; Co-organizer Global Summit, <a href="http://www.owasp.org/index.php/Summit_2011" target="_blank">http://www.owasp.org/index.php/Summit_2011</a><br>
&gt; Conf Comm, <a href="http://www.owasp.org/index.php/Global_Conferences_Committee" target="_blank">http://www.owasp.org/index.php/Global_Conferences_Committee</a><br>
&gt;<br>
</div></div><div><div></div><div class="h5">&gt; _______________________________________________<br>
&gt; OWASP-Leaders mailing list<br>
&gt; <a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
&gt; <a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
&gt;<br>
&gt;<br>
_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
</div></div></blockquote></div><br></div>