To add to the industry committee points, we have now established and agreed (at the summit) that the board does not really have much power but is rather a supporting function. Power is with the committees in terms of getting things done -  This clarification of empowerment and autonomy (within the OWASP values and purpose) should give the committee verticals the ability to achieve meaningful objectives.<br>
<br>
<div class="gmail_quote">On 23 February 2011 14:23, John Steven <span dir="ltr">&lt;<a href="mailto:John.Steven@owasp.org">John.Steven@owasp.org</a>&gt;</span> wrote:<br>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">Comment in line.<br>
<div class="im"><br>On Wed, Feb 23, 2011 at 2:56 PM, Eoin &lt;<a href="mailto:eoin.keary@owasp.org">eoin.keary@owasp.org</a>&gt; wrote:<br>&gt; Hi John,<br>&gt; may I humbly respond to your observations below?<br><br></div>
It would appear so, and effectively.<br>
<div class="im"><br>&gt;&gt; ----<br>&gt;&gt; There is no formal conduit through which the participation of<br>&gt;&gt; commercial entities and their employees feel comfortable contributing<br>&gt;&gt; while protecting their organization&#39;s privacy, intellectual property,<br>
&gt;&gt; and employment.<br>&gt;&gt; ----<br>&gt;&gt;<br>&gt; EK - this is where the industry committee come in in some ways. It needs to<br>&gt; start briding the gap between OWASP and &quot;the world&quot;.<br>&gt; We have elected an industry committee chair (Joe Bernik) who is not a vendor<br>
&gt; which is a great start and something I support and have been preaching into<br>&gt; an echo chamber for the past year. This should ( I hope) start to get the<br>&gt; ball moving and give OWASP a chance to connect with the non<br>
&gt; vendor/consultant community. Joe&#39;s insight into such issues should help<br>&gt; understand the challenge better and even get some stuff done rather than<br>&gt; talking about it!<br><br></div>This is where the Industry committee _should_ come in. You and I<br>
discussed this during your board run (as you mentioned), at least<br>obliquely. I think we&#39;re of similar mind on the issue. However, I<br>think we can safely say that, to date, the industry committee has not<br>successfully alleviated the problem.  This doesn&#39;t mean that the<br>
committee won&#39;t change course or increase speed or otherwise become<br>effective and I think Joe may be a good guy to operate the helm.<br>
<div class="im"><br>&gt; EK - I am happy to volunteer or at least help but I&#39;m from the &quot;evil&quot; board,<br>&gt; I don&#39;t know if this is an issue or not?<br>&gt; The reason I went for the board elections 14 months ago was to try and fix<br>
&gt; the industry link issue you Jeremiah and I are talking about. I am so glad<br>&gt; we are getting to this point and clever guys like u and J see this problem.<br>&gt; I dont know about you but I am tired of talking security with security folk,<br>
&gt; preaching to the choir when the real problem continues to grow.<br><br></div>I think this is one issue on which we have to &quot;talk amongst<br>ourselves&quot;: we&#39;ve got an existing barrier to involving more<br>
non-security folk. Though, that isn&#39;t to say that industry and dev<br>can&#39;t help us overcome this issue. But, unless we agree as a community<br>that  a framework for safe participation is necessary and actually<br>
build/socialize it, we won&#39;t get the leverage and bi-directional<br>involvement we&#39;re all craving in our &quot;Developers vs. Security&quot;<br>discussions. This issue _is_ important for us security guys to agree<br>
on because any functioning framework must have compulsory elements to<br>it, to protect privacy/IP/etc. of participants. That represents a<br>culture shift for some aspects of OWASP (though I don&#39;t think the<br>whole culture need be affected -- this list&#39;s NDA thread was<br>
particularly illuminating as a misstep, IMO). And, frankly, from what<br>I heard of Dinis and Jeff&#39;s &quot;open radically transparent platform&quot;<br>commentary during the governance discussions, this _is_ a stretch for<br>
OWASP. As in athletics, stretching has benefits but can cause injury<br>itself if underestimated.<br><font color="#888888"><br>-jOHN<br></font></blockquote></div><br><br clear="all"><br>-- <br>Eoin Keary<br>OWASP Global Board Member<br>
OWASP Code Review Guide Lead Author<br><br>Sent from my i-Transmogrifier<br><a href="http://asg.ie/" target="_blank">http://asg.ie/</a><br><a href="https://twitter.com/EoinKeary" target="_blank">https://twitter.com/EoinKeary</a><br>