<html><body bgcolor="#FFFFFF"><div>Check the logos on the AppSec USA 2010 page:</div><div><a href="http://www.owasp.org/index.php/AppSec_US_2010,_CA#tab=Sponsors">http://www.owasp.org/index.php/AppSec_US_2010,_CA#tab=Sponsors</a></div><div><br></div><div>Can OWASP keep accepting Cenzic's money if we act on the patent issue? I sense potential hypocrisy.</div><div><br></div><div>Why not a diplomatic outreach first? Jeff calling Cenzic's CEO, telling him of the community concern and asking for their view. I'd prefer starting there.</div><div><br></div><div>&nbsp;&nbsp; Regards, John</div><div><br></div><div><br>Sent from my iPad</div><div><br>On 17 feb 2011, at 19:57, Rex Booth &lt;<a href="mailto:rex.booth@owasp.org">rex.booth@owasp.org</a>&gt; wrote:<br><br></div><div></div><blockquote type="cite"><div>

    This "issue" is not new.&nbsp; Patent squatting and similar activities is
    a prevalent problem throughout the US intellectual property system.&nbsp;
    To my knowledge, OWASP has not addresses these problems in the past,
    so I'm at a loss to understand why we would do so now.<br>
    <br>
    I, as an individual, am personally and professionally irritated by
    Cenzic's claim - as I'm sure we all are.&nbsp; But that doesn't mean that
    OWASP has a play at this point.<br>
    <br>
    You asked if we should wait until they come for us.&nbsp; In my opinion,
    that is exactly what we should do.&nbsp; Because until that point, their
    actions really have no appreciable impact on our ability to fulfill
    our mission.&nbsp; In the meantime, let the battle be waged by the
    organizations who have a mission to fight these kinds of actions.&nbsp;
    Otherwise we risk getting in WAY over our heads and drifting far
    from our core mission.<br>
    <br>
    Rex<br>
    <br>
    <br>
    On 2/17/2011 1:29 PM, dinis cruz wrote:
    <blockquote cite="mid:AANLkTim=2b4_=XokpGgu9fW0Ad+QTiveNWoN7M_P4Ox+@mail.gmail.com" type="cite">
      <div>The problem with this case is that if OWASP doesn't do
        anything, that in it self it taking a position (some might argue
        that it would be equivalent of 'putting the head into the sand
        and ignoring what is happening')</div>
      <div><br>
      </div>
      <div>This is&nbsp;definitely&nbsp;a case where we will be dammed if we do
        and dammed if we don't (ignoring this will not make the issue go
        away)</div>
      <div><br>
      </div>
      <div>This case goes to the heart of a lot of things at OWASP
        (including our ability to continue to innovate on the WebApp
        tools space).</div>
      <div><br>
      </div>
      <div>In fact, as some of the&nbsp;recommendations&nbsp;already provided in
        this small thread clearly show, if there is no clear 'position'
        and guidelines from OWASP's community, we will actually create a
        much worse environment.&nbsp;</div>
      <div><br>
      </div>
      <div>We need to start start this&nbsp;process&nbsp;from the point of view
        that we need to listen to both sides of the story, we&nbsp;first&nbsp;need
        to clarify what are the facts and what is really going on.</div>
      <div><br>
      </div>
      <div>We shouldn't start from the premise that Cenzic is wrong,
        that its products should be&nbsp;boycotted&nbsp;or that the WebAppSec
        buyers should buy Cenzic's competitors products</div>
      <div><br>
        Dinis Cruz<br>
        <br>
        <br>
        <div class="gmail_quote">
          On 17 February 2011 18:19, Dan Cornell <span dir="ltr">&lt;<a moz-do-not-send="true" href="mailto:dan@denimgroup.com"><a href="mailto:dan@denimgroup.com">dan@denimgroup.com</a></a>&gt;</span>
          wrote:<br>
          <blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt
            0.8ex; border-left: 1px solid rgb(204, 204, 204);
            padding-left: 1ex;">
            <div class="im">&gt; What I would do: 1) Buy NTObjectives'
              scanner and/or service and<br>
              &gt; recommend it to others. 2) cite Cenzic for
              breach-of-contract of their<br>
              &gt; software support &amp; upgrade contracts, if you are
              a current customer of<br>
              &gt; theirs (one cannot reasonably expect a company to be
              able to upgrade<br>
              &gt; their product if they are forcing stifled innovation
              in a growing and<br>
              &gt; needy industry), 3) If you're a Veracode customer,
              consider trading<br>
              &gt; your credits (or budget for the year) to dynamic
              analysis services<br>
              &gt; (which can only stand to help NTObjectives), and 4)
              If you are an<br>
              &gt; attorney, or have a GC at your company, contact
              NTObjective's legal<br>
              &gt; counsel.<br>
              &gt;<br>
              &gt; It also appears that one can list prior art on that <a moz-do-not-send="true" href="http://stop232patent.com" target="_blank"><a href="http://stop232patent.com">stop232patent.com</a></a><br>
              &gt; website, but I have no idea what fits the criteria.
              Elza? Nikto?<br>
              &gt; Phrack magazine's 1998 article on SQL injection?
              OULU's work on<br>
              &gt; PROTOS? <a href="http://Wisc.edu">Wisc.edu</a> Bart Miller's 1989 work on fuzz.c?
              Gary McGraw's 1998<br>
              &gt; book on "Software Fault Injection"?<br>
              &gt;<br>
              <br>
            </div>
            Agreed! &nbsp;I suppose my point is that these are all
            decisions/activities that make sense for people or firms to
            take in their name, not in the OWASP name. &nbsp;And I think that
            is a healthier approach versus OWASP holding an
            ominously-named "Inquiry" into a Supporter organization (or
            any organization, for that matter). &nbsp;Now if OWASP wanted to
            start a "Prior Art" project that might be something...<br>
            <br>
            Thanks,<br>
            <font color="#888888"><br>
              Dan<br>
            </font>
            <div>
              <div class="h5"><br>
                _______________________________________________<br>
                OWASP-Leaders mailing list<br>
                <a moz-do-not-send="true" href="mailto:OWASP-Leaders@lists.owasp.org"><a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a></a><br>
                <a moz-do-not-send="true" href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank"><a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a></a><br>
              </div>
            </div>
          </blockquote>
        </div>
        <br>
      </div>
      <pre wrap=""><fieldset class="mimeAttachmentHeader"></fieldset>
_______________________________________________
OWASP-Leaders mailing list
<a class="moz-txt-link-abbreviated" href="mailto:OWASP-Leaders@lists.owasp.org"><a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a></a>
<a class="moz-txt-link-freetext" href="https://lists.owasp.org/mailman/listinfo/owasp-leaders"><a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a></a>
</pre>
    </blockquote>
    <br>
  

</div></blockquote><blockquote type="cite"><div><span>_______________________________________________</span><br><span>OWASP-Leaders mailing list</span><br><span><a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a></span><br><span><a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a></span><br></div></blockquote></body></html>