<html><body bgcolor="#FFFFFF"><div>Mark,</div><div><br></div><div>Your concern is fair. The leaders list is primarily a governance list.</div><div><br></div><div>If you want to discuss secure coding practices, I suggest the ESAPI-dev list. We are in maintenance mode mostly, but we are happy to help you if you have any questions about WebAppSec defensive coding practices.</div>
<div><br></div><div>If you have questions about WebAppSec in general, I find that your friends at WASC are fairy active chatting about...  WebAppSec: <a href="http://lists.webappsec.org/mailman/listinfo/websecurity_lists.webappsec.org"><a href="http://lists.webappsec.org/mailman/listinfo/websecurity_lists.webappsec.org">http://lists.webappsec.org/mailman/listinfo/websecurity_lists.webappsec.org</a></a></div>
<div><br></div><div>A lot of good technical conversarions happen 1-2-1 or on twitter. Please feel free to drop me a line anytime. A lot has changed in WebAppSec over the past few years and I&#39;d be happy to help catch you up or at least point you to the right person who can.</div>
<div><br></div><div>Welcome back!</div><div><br></div><div>Regards,</div><div><br><div>--</div><div>Jim Manico</div><div><br></div></div><div><br>On Aug 10, 2011, at 11:59 PM, Tom Brennan &lt;<a href="mailto:tomb@owasp.org">tomb@owasp.org</a>&gt; wrote:<br>
<br></div><div></div><blockquote type="cite"><div><div>Yes, there are a few; </div><div><br></div><div><a href="https://lists.owasp.org/mailman/listinfo"><a href="https://lists.owasp.org/mailman/listinfo">https://lists.owasp.org/mailman/listinfo</a></a><br>
<br>Semper Fi,<div><br></div><div>Tom Brennan<div>Tel: 973-202-0122</div><div><br></div><div><br></div><div><br></div><div><br></div><div><br><div><br></div></div></div></div><div><br>On Aug 10, 2011, at 10:06 PM, mark curphey &lt;<a href="mailto:mark@curphey.com"><a href="mailto:mark@curphey.com">mark@curphey.com</a></a>&gt; wrote:<br>
<br></div><div></div><blockquote type="cite"><div><div>Please forgive what maybe a naive message. Having been away form OWASP for a number of years I just don&#39;t recognize the project I left or understand how things work these days. </div>
<div><br></div><div>This list seems to be focus on beuraucracy and administivia (neither of which I personally have any interest in). Is there a &quot;leaders&quot; list where project leaders focus on improving the state of application security, discussing ways to make OWASP have more impact or share ideas on how individual projects can be better? If so I would like to unsubscribe for this list and join that one. </div>
<div><br></div><div>I look forward to hearing from you. </div><div><br></div><div>Cheers!</div><div><br></div><div>Mark</div><div><br></div><div><br></div><br><div><div>On Aug 10, 2011, at 6:28 PM, Christian Heinrich wrote:</div>
<br class="Apple-interchange-newline"><blockquote type="cite">Abraham,<br><br><div class="gmail_quote">On Thu, Aug 11, 2011 at 1:04 AM, Abraham Kang <span dir="ltr">&lt;<a href="mailto:abraham.kang@owasp.org" target="_blank"></a><a href="mailto:abraham.kang@owasp.org"><a href="mailto:abraham.kang@owasp.org">abraham.kang@owasp.org</a></a>&gt;</span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div>Most companies have an indemnity clause in their bylaws because officers and directors have a fiduciary duty to the company.  A fiduciary duty entails a Duty of Loyalty and Duty of Care.  </div></blockquote><div><br>


</div><div>What is the difference between a &quot;Company&quot; and a &quot;Not for Profit Foundation&quot; i.e. OWASP as defined by USA Law?</div><div><br></div><div>On Thu, Aug 11, 2011 at 1:04 AM, Abraham Kang <span dir="ltr">&lt;<a href="mailto:abraham.kang@owasp.org" target="_blank"></a><a href="mailto:abraham.kang@owasp.org"><a href="mailto:abraham.kang@owasp.org">abraham.kang@owasp.org</a></a>&gt;</span> wrote: </div>


<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div>A duty of loyalty requires officers and directors to place the interests of the organization above their own.  This implies that officers and directors cannot usurp opportunities for themselves which could have be taken by the organization unless notifying non-interested directors and getting approval or if the organization would not be able to avail itself of the opportunity.  If an officer or director breaches this duty they can be sued.  However, the indemnity will only apply when the officer or director does not have an adverse ruling against him/her in the proceeding.  If the officer or director is found to have acted in bad faith they, individually, he/she will be responsible for paying their attorney&#39;s fees (no indemnity and accountability). </div>


</blockquote><div><br></div><div>On a slight tangent, does the above paragraph infer that OWASP Board Members have to declare all commercial opportunities, i.e. webappsec product or professional service, delivered by their respective employer?</div>

<div><br></div><div>I am very much in favor of reducing perceived conflict of interests within the OWASP Board.</div>
<div><br></div><div>On Thu, Aug 11, 2011 at 1:04 AM, Abraham Kang <span dir="ltr">&lt;<a href="mailto:abraham.kang@owasp.org" target="_blank"></a><a href="mailto:abraham.kang@owasp.org"><a href="mailto:abraham.kang@owasp.org">abraham.kang@owasp.org</a></a>&gt;</span> wrote: </div>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div>Members do not have a fiduciary duty to the organization per se.  However, if a member is acting as an agent of the organization and the organization has held the agent out as representing the organization or acknowledged the agency relationship then the organization will be liable for the member&#39;s actions (indemnity).  An example of agency would be were members set up conferences like AppSec USA and sign contracts for the venue, food, services, etc. on behalf of OWASP.  So there is indemnity of members in certain cases.</div>


</blockquote><div><br></div><div>I believe this addresses my request and is therefore similar to my experience in NSW, Australia i.e. <a href="http://www.fairtrading.nsw.gov.au/Cooperatives_and_associations/Associations/Incorporated_associations.html#What_is_the_associations_liability" target="_blank"></a><a href="http://www.fairtrading.nsw.gov.au/Cooperatives_and_associations/Associations/Incorporated_associations.html#What_is_the_associations_liability"><a href="http://www.fairtrading.nsw.gov.au/Cooperatives_and_associations/Associations/Incorporated_associations.html#What_is_the_associations_liability">http://www.fairtrading.nsw.gov.au/Cooperatives_and_associations/Associations/Incorporated_associations.html#What_is_the_associations_liability</a></a></div>


<div><br></div><div>Does this indemnity extend to:</div><div>1. Libel/slander on OWASP Mailing Lists and Chapter Meetings or Conferences?</div><div>2. Lack of OH&amp;S, such as an attendee breaking their arm in a fall at an OWASP Chapter Meeting or Conference?   </div>


<div><br></div><div>On Thu, Aug 11, 2011 at 1:04 AM, Abraham Kang <span dir="ltr">&lt;<a href="mailto:abraham.kang@owasp.org" target="_blank"></a><a href="mailto:abraham.kang@owasp.org"><a href="mailto:abraham.kang@owasp.org">abraham.kang@owasp.org</a></a>&gt;</span> wrote:  </div>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div></div><div>But requiring OWASP to indemnify all of its members would be a tremendous legal burden. Especially if the member is not acting as an agent for OWASP.  This would open OWASP to potential liability for actions that any member partakes (hacking government institutions, negligence, as well as other criminal and civil torts).</div>


</blockquote><div><br></div><div>The above would then be addressed by their employer&#39;s indemnity insurance - correct?</div><div><br></div><div>On Thu, Aug 11, 2011 at 1:04 AM, Abraham Kang <span dir="ltr">&lt;<a href="mailto:abraham.kang@owasp.org" target="_blank"></a><a href="mailto:abraham.kang@owasp.org"><a href="mailto:abraham.kang@owasp.org">abraham.kang@owasp.org</a></a>&gt;</span> wrote:   </div>


<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div>I have to say this is an unreasonable request and it is not related to Americans trying to control everything.  </div>


</blockquote><div><br></div><div>I deliberately avoided making reference to this - rather I am interested in the difference between the USA and Australian (State) Laws regarding &quot;Not For Profits&quot;. </div><div><br>

</div><div>
On Thu, Aug 11, 2011 at 1:04 AM, Abraham Kang <span dir="ltr">&lt;<a href="mailto:abraham.kang@owasp.org" target="_blank"></a><a href="mailto:abraham.kang@owasp.org"><a href="mailto:abraham.kang@owasp.org">abraham.kang@owasp.org</a></a>&gt;</span> wrote:    </div>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div>I attended this year&#39;s OWASP leadership conference in Lisbon, Portugal.  This conference was not held in the states.  And although it was a pain flying to Europe from the US I think we had good representation of members outside of the US for leadership purposes.  This shows that OWASP is globally centric and not US centric.</div>

</blockquote><div><br></div><div>I might address the Summit in a separate thread.  However, the OWASP Community has extended beyond Europe and USA.</div><div> </div><div>On Thu, Aug 11, 2011 at 1:04 AM, Abraham Kang <span dir="ltr">&lt;<a href="mailto:abraham.kang@owasp.org" target="_blank"></a><a href="mailto:abraham.kang@owasp.org"><a href="mailto:abraham.kang@owasp.org">abraham.kang@owasp.org</a></a>&gt;</span> wrote:    </div>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div>Come guys, OWASP wants to support and reach out to the world.</div></blockquote></div><div><br></div>Thanks for taking the time to clarify this in detail.<br clear="all">

<br><div><br>-- <br>Regards,<br>Christian Heinrich<br><a href="http://www.owasp.org/index.php/user:cmlh" target="_blank"></a><a href="http://www.owasp.org/index.php/user:cmlh"><a href="http://www.owasp.org/index.php/user:cmlh">http://www.owasp.org/index.php/user:cmlh</a></a><br>
<br><br>
</div>
_______________________________________________<br>OWASP-Leaders mailing list<br><a href="mailto:OWASP-Leaders@lists.owasp.org"></a><a href="mailto:OWASP-Leaders@lists.owasp.org"><a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a></a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders"><a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a></a><br></blockquote></div><br></div>
</blockquote><blockquote type="cite"><div><span>_______________________________________________</span><br><span>OWASP-Leaders mailing list</span><br><span><a href="mailto:OWASP-Leaders@lists.owasp.org"><a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a></a></span><br>
<span><a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders"><a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a></a></span><br></div></blockquote>
</div></blockquote><blockquote type="cite"><div><span>_______________________________________________</span><br><span>OWASP-Leaders mailing list</span><br><span><a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a></span><br>
<span><a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a></span><br></div></blockquote></body></html>