<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
  <head>
    <meta content="text/html; charset=windows-1252"
      http-equiv="Content-Type">
  </head>
  <body text="#000000" bgcolor="#ffffff">
    Agreed 100%.<br>
    <br>
    On 2/14/2011 1:30 PM, Brad Causey wrote:
    <blockquote
      cite="mid:AANLkTimmYE5imOO6qvAGGocsqhZDChV2QOmF5yVjsrdZ@mail.gmail.com"
      type="cite">Well said Chris.<br>
      <br>
      Personally, I don't care what "technical skills" a given board
      member has, as long as he's a solid leader, and understands how to
      run the business and provide guidance and direction. <br>
      <br>
      <br>
      <br clear="all">
      -Brad Causey<br>
      CISSP, MCSE, C|EH, CIFI, CGSP<br>
      <br>
      <a moz-do-not-send="true" href="http://www.owasp.org">http://www.owasp.org</a><br>
      --<br>
      "Si vis pacem, para bellum"<br>
      --<br>
      <br>
      <br>
      <div class="gmail_quote">On Mon, Feb 14, 2011 at 10:23 AM, Chris
        Schmidt <span dir="ltr">&lt;<a moz-do-not-send="true"
            href="mailto:chris.schmidt@owasp.org">chris.schmidt@owasp.org</a>&gt;</span>
        wrote:<br>
        <blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt
          0.8ex; border-left: 1px solid rgb(204, 204, 204);
          padding-left: 1ex;">
          <div>
            <font face="Calibri, Verdana, Helvetica, Arial"><span
                style="font-size: 11pt;">All – I have fought the urge to
                jump on this thread all morning, but I want to point out
                one <b>really</b> important thing here. <br>
                <br>
                There needs to be a <b>clear</b> and <b>distinct</b>
                understanding of what the responsibilities of board
                members are. I think that it is the job of the Projects
                Committee to address a lot of Johns specific complaints
                here (and I am in the process of joining said committee
                in an effort to bolster momentum to address a lot of
                these issues) <br>
                <br>
                My personal opinion is that the board should be a panel
                of <b>experienced</b> businessmen who know how to make
                an organization grow and understand the business needs
                of organizations. OWASP is not meant to be a Top-Down
                Org, and I don’t think that model works <b>at all</b>
                for the majority of people that contribute to OWASP in
                any fashion. We should be encouraging the inventors,
                researchers, developers, technical writers, analysts,
                and chapter leaders to all keep bringing everything they
                can to the organization and in no way limit their
                ability to function as individuals or small groups –
                however, we also need standards and policies that are
                designed for the betterment of the organization as a
                whole. I don’t think it matters if the people who sit on
                the board are coders or if they are highly advanced
                evangelist aliens – the point is that it is the boards
                responsibility to further the organization as whole and
                the responsibilities of the committees and project
                leaders to direct the content of the organization.  It
                is also a primary responsibility of the committees to
                present the details of matters being brought to the
                board in a manner that outlines the details of the
                matter in a way that is not biased and also is
                understandable by not only the board but the entire
                OWASP community. The Board should not have to dive deep
                into a matter to make a decision – the committees need
                to be providing the board with the information they need
                to make those decisions. <br>
                <br>
                Basically I equivicate it to this – Having worked in
                software development for the last 6 years and hardware
                maintenance prior to that – given the choice, I would
                much rather have my boss manage the people and let my
                best developers write the code. <br>
                <br>
                I think that the existing board members (and Dinis) have
                absolutely demonstrated that ability both within and
                without OWASP – and I think that the same should be
                expected of any <b>new</b> board members. Generally
                speaking, I think it is a <b>bad</b> idea for board
                members to become so involved in the inner workings of
                particular projects that it distracts them from their
                duties as board members. <br>
                <br>
                I will have a long and detailed blog posting about my
                greater feelings about this, as well as detailed
                examples and thoughts sometime this week. <br>
                <div>
                  <div class="h5">
                    <br>
                    <br>
                    <br>
                    <br>
                    On 2/14/11 1:05 PM, "Martin Knobloch" &lt;<a
                      moz-do-not-send="true"
                      href="http://martin.knobloch@owasp.org"
                      target="_blank">martin.knobloch@owasp.org</a>&gt;
                    wrote:<br>
                    <br>
                  </div>
                </div>
              </span></font>
            <div>
              <div class="h5">
                <blockquote><font face="Calibri, Verdana, Helvetica,
                    Arial"><span style="font-size: 11pt;">Hi all,<br>
                      <br>
                      I can definitely see where John is coming from and
                      where he is hitting with his wish. Myself, I have
                      been developer quite for some time, before I left
                      that area (not without many times wishing to be
                      back) and went full time into security
                      consultancy.<br>
                      <br>
                      Nevertheless, I have my doubts if we should demand
                      any specific profession a board member has to come
                      from.<br>
                      Of course, all members can and will for sure vote
                      by their best opinion. But I my opinion, the board
                      has more responsibility then representing the
                      OWASP community. <br>
                      You see the same differentiation in the chapters.
                      We have more and less technical chapters. Some
                      with more focus on process, the other more
                      to implementation. Builders and breakers.
                      Developers, tester, auditors. You name it, we got
                      it.  Is the one more OWASP then the other?<br>
                      I can't see how to implement this on a fair manner
                      into the election (or we need quite a big board).<br>
                      <br>
                      Being a board member, as I see this, bring the
                      obligation to the whole community. All board
                      members, no matter where they come from, have to
                      be able to talk and understand all cultures inside
                      and outside OWASP.<br>
                      <br>
                      To be honest, I have my doubts email is the best
                      way of communication in matters like this.<br>
                      Maybe it's time we enable a forum on the OWASP
                      site?<br>
                      <br>
                      We had great thoughts and results in creating an
                      (to be shared and agreed on via the whole OWASP
                      community) what we expect of the board. Hope we
                      can continue that process via the web!<br>
                       <br>
                      Cheers,<br>
                      ~Martin<br>
                      <br>
                      On Mon, Feb 14, 2011 at 6:47 PM, John Wilander
                      &lt;<a moz-do-not-send="true"
                        href="http://john.wilander@owasp.org"
                        target="_blank">john.wilander@owasp.org</a>&gt;
                      wrote:<br>
                    </span></font>
                  <blockquote><font face="Calibri, Verdana, Helvetica,
                      Arial"><span style="font-size: 11pt;">Andre, I
                        said I wanted <i>two</i> board members to write
                        production code weekly. Not all board members.<br>
                        <br>
                        Regarding production code and its definition ...
                        Can you do the work of the developers we try to
                        reach out to? The guys who implement and
                        maintain Twitter, Facebook, GMail, PayPal,
                        Amazon, and YouTube – could you join their team
                        and take on tasks from the backlog? At least at
                        80% speed? Are you performing such tasks on a
                        weekly basis? Then you fit my frame.<br>
                        <br>
                        OWASP has no shortage on pentesters (proven by
                        raised hands at the summit) so I have full
                        confidence in that we'll find one or two
                        pentesters who can run for the board too. Since
                        pentesters build up a large part of our
                        community I would be happy to have one or two on
                        the board.<br>
                        <br>
                        The main reason I'm stressing the importance of
                        coders on the board is developer outreach. Right
                        now we're failing in one of our core missions. I
                        believe hands-on coding among the board members
                        will help solve this.<br>
                        <br>
                        (If there's a silent majority out there either
                        thinking I'm totally wrong or right – please
                        speak up. Don't let the talkative, myself
                        included, decide for you.)<br>
                        <br>
                           /John<br>
                        <br>
                        2011/2/14 Andre Gironda &lt;<a
                          moz-do-not-send="true"
                          href="http://andreg@gmail.com" target="_blank">andreg@gmail.com</a>&gt;<br>
                        <br>
                      </span></font>
                    <blockquote><font face="Calibri, Verdana, Helvetica,
                        Arial"><span style="font-size: 11pt;">On Mon,
                          Feb 14, 2011 at 10:06 AM, John Wilander &lt;<a
                            moz-do-not-send="true"
                            href="http://john.wilander@owasp.org"
                            target="_blank">john.wilander@owasp.org</a>&gt;
                          wrote:<br>
                          &gt; Eoin, if you write production code weekly
                          you're on my list of coders for<br>
                          &gt; sure. Did not know that. Cred.<br>
                          &gt;&gt; So you are of the opinion
                          that writing code is of paramount importance<br>
                          &gt;&gt; regardless of if its done right?<br>
                          &gt;<br>
                          &gt; The "done right" addon can be applied to
                          guidelines and policies too =&gt;<br>
                          &gt; redundant rhetorics. I also believe I
                          wrote "production code" which in my<br>
                          &gt; view says something about quality.<br>
                          <br>
                          It says nothing about quality. You seem
                          obsessed with this "production<br>
                          code" thing, but you don't define it. So if
                          I'm a dev-test coder, and<br>
                          only write code that works in integration,
                          then somehow I'm not<br>
                          qualified to be an OWASP board member? What if
                          I write 7 kloc a day<br>
                          and the production coders I work with only
                          change tens of loc's per<br>
                          day? What if all of their success in
                          refactorings are based on my test<br>
                          automation? What if the production coders are
                          constantly making<br>
                          mistakes and a quality-oriented person is
                          covering for them --<br>
                          correcting mistakes and making that shipped
                          code actually work from a<br>
                          user perspective?<br>
                          <br>
                          &gt; I don't believe in non-coders teaching
                          coders how to code better. Many OWASP<br>
                          &gt; outreach attempts fail because we're not
                          on the right level. Web 1.5 code<br>
                          &gt; snippets on a Powerpoint slide won't cut
                          it. "Demo or die".<br>
                          <br>
                          I disagree with this point. Customers and
                          users always teach coders<br>
                          how to code better. Quality engineers even
                          moreso.<br>
                          <br>
                          &gt; As I said above, as long as you're
                          writing production code weekly you<br>
                          &gt; understand coders and can take on that
                          role on the board. Good!<br>
                          <br>
                          I think there is room on the board for more
                          than one type of person.<br>
                          This seems to over-favor a certain type of
                          application developer.<br>
                          <font color="#888888"><br>
                            -Andre<br>
                          </font>_______________________________________________<br>
                          OWASP-Leaders mailing list<br>
                          <a moz-do-not-send="true"
                            href="http://OWASP-Leaders@lists.owasp.org"
                            target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
                          <a moz-do-not-send="true"
                            href="https://lists.owasp.org/mailman/listinfo/owasp-leaders"
                            target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
                        </span></font></blockquote>
                    <font face="Calibri, Verdana, Helvetica, Arial"><span
                        style="font-size: 11pt;"><br>
                        <br>
                      </span></font></blockquote>
                </blockquote>
              </div>
            </div>
            <font face="Calibri, Verdana, Helvetica, Arial"><span
                style="font-size: 11pt;"><br>
                Chris Schmidt<br>
                ESAPI Project Manager (<a moz-do-not-send="true"
                  href="http://www.esapi.org" target="_blank">http://www.esapi.org</a>)<br>
                ESAPI4JS Project Owner (<a moz-do-not-send="true"
                  href="http://bit.ly/9hRTLH" target="_blank">http://bit.ly/9hRTLH</a>)<br>
                Blog: <a moz-do-not-send="true"
                  href="http://yet-another-dev.blogspot.com"
                  target="_blank">http://yet-another-dev.blogspot.com</a><br>
                <br>
              </span></font>
          </div>
          <br>
          _______________________________________________<br>
          OWASP-Leaders mailing list<br>
          <a moz-do-not-send="true"
            href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
          <a moz-do-not-send="true"
            href="https://lists.owasp.org/mailman/listinfo/owasp-leaders"
            target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
          <br>
        </blockquote>
      </div>
      <br>
      <pre wrap="">
<fieldset class="mimeAttachmentHeader"></fieldset>
_______________________________________________
OWASP-Leaders mailing list
<a class="moz-txt-link-abbreviated" href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a>
<a class="moz-txt-link-freetext" href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a>
</pre>
    </blockquote>
    <br>
  </body>
</html>