<HTML>
<HEAD>
<TITLE>Re: [Owasp-leaders] Fwd: Stepping down as Board Member</TITLE>
</HEAD>
<BODY>
<FONT FACE="Calibri, Verdana, Helvetica, Arial"><SPAN STYLE='font-size:11pt'>All &#8211; I have fought the urge to jump on this thread all morning, but I want to point out one <B>really</B> important thing here. <BR>
<BR>
There needs to be a <B>clear</B> and <B>distinct</B> understanding of what the responsibilities of board members are. I think that it is the job of the Projects Committee to address a lot of Johns specific complaints here (and I am in the process of joining said committee in an effort to bolster momentum to address a lot of these issues) <BR>
<BR>
My personal opinion is that the board should be a panel of <B>experienced</B> businessmen who know how to make an organization grow and understand the business needs of organizations. OWASP is not meant to be a Top-Down Org, and I don&#8217;t think that model works <B>at all</B> for the majority of people that contribute to OWASP in any fashion. We should be encouraging the inventors, researchers, developers, technical writers, analysts, and chapter leaders to all keep bringing everything they can to the organization and in no way limit their ability to function as individuals or small groups &#8211; however, we also need standards and policies that are designed for the betterment of the organization as a whole. I don&#8217;t think it matters if the people who sit on the board are coders or if they are highly advanced evangelist aliens &#8211; the point is that it is the boards responsibility to further the organization as whole and the responsibilities of the committees and project leaders to direct the content of the organization. &nbsp;It is also a primary responsibility of the committees to present the details of matters being brought to the board in a manner that outlines the details of the matter in a way that is not biased and also is understandable by not only the board but the entire OWASP community. The Board should not have to dive deep into a matter to make a decision &#8211; the committees need to be providing the board with the information they need to make those decisions. <BR>
<BR>
Basically I equivicate it to this &#8211; Having worked in software development for the last 6 years and hardware maintenance prior to that &#8211; given the choice, I would much rather have my boss manage the people and let my best developers write the code. <BR>
<BR>
I think that the existing board members (and Dinis) have absolutely demonstrated that ability both within and without OWASP &#8211; and I think that the same should be expected of any <B>new</B> board members. Generally speaking, I think it is a <B>bad</B> idea for board members to become so involved in the inner workings of particular projects that it distracts them from their duties as board members. <BR>
<BR>
I will have a long and detailed blog posting about my greater feelings about this, as well as detailed examples and thoughts sometime this week. <BR>
<BR>
<BR>
<BR>
<BR>
On 2/14/11 1:05 PM, &quot;Martin Knobloch&quot; &lt;<a href="martin.knobloch@owasp.org">martin.knobloch@owasp.org</a>&gt; wrote:<BR>
<BR>
</SPAN></FONT><BLOCKQUOTE><FONT FACE="Calibri, Verdana, Helvetica, Arial"><SPAN STYLE='font-size:11pt'>Hi all,<BR>
<BR>
I can definitely see where John is coming from and where he is hitting with his wish. Myself, I have been developer quite for some time, before I left that area (not without many times wishing to be back) and went full time into security consultancy.<BR>
<BR>
Nevertheless, I have my doubts if we should demand any specific profession a board member has to come from.<BR>
Of course, all members can and will for sure vote by their best opinion. But I my opinion, the board has more responsibility then representing the OWASP community. <BR>
You see the same differentiation in the chapters. We have more and less technical chapters. Some with more focus on process, the other more to implementation. Builders and breakers. Developers, tester, auditors. You name it, we got it.  Is the one more OWASP then the other?<BR>
I can't see how to implement this on a fair manner into the election (or we need quite a big board).<BR>
<BR>
Being a board member, as I see this, bring the obligation to the whole community. All board members, no matter where they come from, have to be able to talk and understand all cultures inside and outside OWASP.<BR>
<BR>
To be honest, I have my doubts email is the best way of communication in matters like this.<BR>
Maybe it's time we enable a forum on the OWASP site?<BR>
<BR>
We had great thoughts and results in creating an (to be shared and agreed on via the whole OWASP community) what we expect of the board. Hope we can continue that process via the web!<BR>
 <BR>
Cheers,<BR>
~Martin<BR>
<BR>
On Mon, Feb 14, 2011 at 6:47 PM, John Wilander &lt;<a href="john.wilander@owasp.org">john.wilander@owasp.org</a>&gt; wrote:<BR>
</SPAN></FONT><BLOCKQUOTE><FONT FACE="Calibri, Verdana, Helvetica, Arial"><SPAN STYLE='font-size:11pt'>Andre, I said I wanted <I>two</I> board members to write production code weekly. Not all board members.<BR>
<BR>
Regarding production code and its definition ... Can you do the work of the developers we try to reach out to? The guys who implement and maintain Twitter, Facebook, GMail, PayPal, Amazon, and YouTube &#8211; could you join their team and take on tasks from the backlog? At least at 80% speed? Are you performing such tasks on a weekly basis? Then you fit my frame.<BR>
<BR>
OWASP has no shortage on pentesters (proven by raised hands at the summit) so I have full confidence in that we'll find one or two pentesters who can run for the board too. Since pentesters build up a large part of our community I would be happy to have one or two on the board.<BR>
<BR>
The main reason I'm stressing the importance of coders on the board is developer outreach. Right now we're failing in one of our core missions. I believe hands-on coding among the board members will help solve this.<BR>
<BR>
(If there's a silent majority out there either thinking I'm totally wrong or right &#8211; please speak up. Don't let the talkative, myself included, decide for you.)<BR>
<BR>
   /John<BR>
<BR>
2011/2/14 Andre Gironda &lt;<a href="andreg@gmail.com">andreg@gmail.com</a>&gt;<BR>
<BR>
</SPAN></FONT><BLOCKQUOTE><FONT FACE="Calibri, Verdana, Helvetica, Arial"><SPAN STYLE='font-size:11pt'>On Mon, Feb 14, 2011 at 10:06 AM, John Wilander &lt;<a href="john.wilander@owasp.org">john.wilander@owasp.org</a>&gt; wrote:<BR>
&gt; Eoin, if you write production code weekly you're on my list of coders for<BR>
&gt; sure. Did not know that. Cred.<BR>
&gt;&gt; So you are of the opinion that writing code is of paramount importance<BR>
&gt;&gt; regardless of if its done right?<BR>
&gt;<BR>
&gt; The &quot;done right&quot; addon can be applied to guidelines and policies too =&gt;<BR>
&gt; redundant rhetorics. I also believe I wrote &quot;production code&quot; which in my<BR>
&gt; view says something about quality.<BR>
<BR>
It says nothing about quality. You seem obsessed with this &quot;production<BR>
code&quot; thing, but you don't define it. So if I'm a dev-test coder, and<BR>
only write code that works in integration, then somehow I'm not<BR>
qualified to be an OWASP board member? What if I write 7 kloc a day<BR>
and the production coders I work with only change tens of loc's per<BR>
day? What if all of their success in refactorings are based on my test<BR>
automation? What if the production coders are constantly making<BR>
mistakes and a quality-oriented person is covering for them --<BR>
correcting mistakes and making that shipped code actually work from a<BR>
user perspective?<BR>
<BR>
&gt; I don't believe in non-coders teaching coders how to code better. Many OWASP<BR>
&gt; outreach attempts fail because we're not on the right level. Web 1.5 code<BR>
&gt; snippets on a Powerpoint slide won't cut it. &quot;Demo or die&quot;.<BR>
<BR>
I disagree with this point. Customers and users always teach coders<BR>
how to code better. Quality engineers even moreso.<BR>
<BR>
&gt; As I said above, as long as you're writing production code weekly you<BR>
&gt; understand coders and can take on that role on the board. Good!<BR>
<BR>
I think there is room on the board for more than one type of person.<BR>
This seems to over-favor a certain type of application developer.<BR>
<FONT COLOR="#888888"><BR>
-Andre<BR>
</FONT>_______________________________________________<BR>
OWASP-Leaders mailing list<BR>
<a href="OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><BR>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><BR>
</SPAN></FONT></BLOCKQUOTE><FONT FACE="Calibri, Verdana, Helvetica, Arial"><SPAN STYLE='font-size:11pt'><BR>
<BR>
</SPAN></FONT></BLOCKQUOTE></BLOCKQUOTE><FONT FACE="Calibri, Verdana, Helvetica, Arial"><SPAN STYLE='font-size:11pt'><BR>
Chris Schmidt<BR>
ESAPI Project Manager (<a href="http://www.esapi.org">http://www.esapi.org</a>)<BR>
ESAPI4JS Project Owner (<a href="http://bit.ly/9hRTLH">http://bit.ly/9hRTLH</a>)<BR>
Blog: <a href="http://yet-another-dev.blogspot.com">http://yet-another-dev.blogspot.com</a><BR>
<BR>
</SPAN></FONT>
</BODY>
</HTML>