Jim<div><br></div><div>Alison and Kate can speak more authoritatively on OWASP finances - but when I last asked them about such charges, I was told that was for graphic design work, not for systems administration. My understanding has been that OWASP has paid for Larry&#39;s graphic design work but that he volunteers his services as systems administrator. My understanding is that these are billed by Aspect rather than paid directly to Larry by OWASP because there&#39;s some fees or something similar that are saved by all parties involved by going through the process. But I don&#39;t personally know exactly why this process is the way it is (saving a check fee maybe? I don&#39;t know).</div>

<div><br></div><div>I would welcome any clarification for those &quot;in the know&quot;.</div><div><br></div><div>With regards to the state of the site, I know that everyone simply wants to help by pointing it out. I&#39;m also aware that it&#39;s a significant inconvenience for all of us when services are unavailable. And unfortunately, we have no established process or chain of escalation for reporting such issues. Larry does have a monitoring system setup that reports on services that are up and sends out alerts when things go down and he attends to them as quickly as he can. Obviously more volunteer help would be great and welcome.</div>

<div><br></div><div>Put it this way - you have a lot of experience leading ESAPI. Imagine that you have the ESAPI baseline and you have Jenkins continuous integration providing you alerts whenever the build breaks. Then imagine that for some random reason completely out of your control, random bit errors are introduced into the source tree that breaks the build. You&#39;re asleep, and Jenkins sends you an alert that the build is broken. An ESAPI user is trying to build from SVN and notices the build is broken and sends a message to indicate that the build is broken. A bunch of other ESAPI list subscribers reply - &quot;yeah - broken for me too!&quot;. You wake up, and you have a ton of messages in your mailbox about the build being broken. You diligently revert the random bit flips and magically the build is working again and life happily goes on. Everyone had the best of intentions in sending those emails - but did it really help you at all? </div>

<div><br></div><div>I would love to see a better process for reporting outages and more clarity on what Larry&#39;s role is/was for OWASP.</div><div><br></div><div>With respect to graphic design rates, I&#39;m all about RFPs and open processes. For those on the chain without context, there was a discussion on the Committee Chairs mailing list regarding work previously done (<a href="https://lists.owasp.org/pipermail/committees-chairs/2011-August/000436.html">https://lists.owasp.org/pipermail/committees-chairs/2011-August/000436.html</a>). My understanding was that we were talking about design work in the context of stuff that was done in the past - and work where the ownership status is unclear. If there is design work that was done in the past prior to OWASP&#39;s formal engagement with Larry, and that work is going to be used outside of the original purpose, then we need to clarify what is to be done about that work. That&#39;s the context I was speaking to in terms of rates. If we want to look back and see how we have paid other graphic designers for other similar work in the past, then the figures seem more than reasonable.</div>

<div><br></div><div>Of course moving forward things should always be open and competitive and I&#39;m not suggesting that we should restrict ourselves to one designer.</div><div><br></div><div>Jim - I am not trying to shame anyone. I am simply trying to see that Larry gets the recognition he deserves for his contributions to OWASP. Judging from the other replies of support on this thread, I don&#39;t think anyone else interpreted my message to be anything other than me trying to praise and highlight the job that Larry has been doing under less than ideal circumstances. His volunteer efforts are an inspiration to us all and it&#39;s unfortunate that there is so much confusion as to his role.</div>

<div><br></div><div>Any clarifications that need to be made about his paid or unpaid role don&#39;t diminish those contributions or the recognition and respect he deserves.</div><div><br></div><div>-Jason</div><div><br><div class="gmail_quote">

On Wed, Aug 17, 2011 at 8:17 PM, Jim Manico <span dir="ltr">&lt;<a href="mailto:jim.manico@owasp.org">jim.manico@owasp.org</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">

<div bgcolor="#FFFFFF"><div><span><div>
Jason,</div><div><br></div><div>First of all, Larry is awesome. I consider him a personal friend and have reached out to support him when I can.</div><div><br></div><div>Second, haven&#39;t we been paying Aspect for some of Larry&#39;s services? I&#39;ve seen bills come in from Aspect for Larry. I&#39;m just confused between what OWASP pays Larry directly, what Larry volunteers, and what we pay to Aspect for Larry&#39;s time. To my knowledge this has never been made clear to the community.</div>


<div><br></div><div>Third, I&#39;m sorry that is &quot;pains you&quot; when folks state when the site goes down, but it&#39;s also pains the European and other non-US communities who are trying to edit content. When folks state the site is down, which happens on a regular basis, it&#39;s not to attack Larry or anyone else, it&#39;s to provide information.</div>


<div><br></div><div>Fourth, there are many capable designers all over the world (with great skill) who could feed several families on 50$USD/hr. It&#39;s shameful that you only compare Larry&#39;s rate to US resources. OWASP is a global community, right? If we put out RFP&#39;s worldwide you would be shocked to see what kind of full time resources we could leverage at rates much lower than 50$USD/hr.</div>


<div><br></div><div>Larry is awesome and I&#39;m grateful for his service regardless of his compensation. But I think it&#39;s critical that you tell &quot;the rest of the story&quot; before you literally try to shame the entire OWASP international community.</div>


</span><br><div>--</div><div>Jim Manico</div></div><div><div></div><div class="h5"><div><br>On Aug 17, 2011, at 6:54 PM, Jason Li &lt;<a href="mailto:jason.li@owasp.org" target="_blank">jason.li@owasp.org</a>&gt; wrote:<br>

<br></div><div></div><blockquote type="cite"><div>
Leaders,<div><br></div><div>Last month there was a huge uproar about the need for OWASP to respect its leaders.</div><div><br></div><div>I would like to bring to the community&#39;s attention a situation that has existed for far too long, where one of our greatest contributors has not been given due respect. In fact, I find that far too often, he is disrespected in the community.</div>




<div><br></div><div>Larry Casey has contributed an enormous amount to the success of OWASP - contributions that go largely unnoticed until something goes wrong.</div><div><br></div><div>There is a lot of confusion over his role at OWASP and I would like to share the facts as far I know them.</div>




<div><br></div><div>Larry has spent the last several years serving as the *volunteer* administrator of OWASP&#39;s infrastructure. While OWASP has paid for the hardware, the bandwidth, etc, the actual task of administrating has been largely performed on a volunteer basis.</div>




<div><br></div><div>Every time the OWASP site is down, it pains me to see the rapid flux of messages to the Leader&#39;s List saying &quot;OWASP Site is Down&quot; followed by the inevitable floods of &quot;Me too!&quot; &quot;Me three!&quot; &quot; Me five hundred thousand!&quot;. Larry has abandoned personal events and plans in the past to attend to these outages as soon as possible - and we are not paying him to do that!</div>




<div><div><br></div><div>OWASP has paid Larry directly for graphic design work in the past - but in terms of basic system administrative tasks, Larry has selflessly devoted countless hours of his time to keeping OWASP alive and well.</div>




</div><div><br></div><div>When was the last time you&#39;ve heard of a Board member, a Committee member, a project leader or a chapter leader dropping whatever they were doing to attend to something for OWASP?</div><div>



<br>
</div><div>And yet we as a community somehow *expect* this of Larry.</div><div><br></div><div>It is no wonder that he has been trying to step down since ***JULY 2009*** (<a href="https://www.owasp.org/index.php/OWASP_Board_Meeting_July_09" target="_blank"></a><a href="https://www.owasp.org/index.php/OWASP_Board_Meeting_July_09" target="_blank">https://www.owasp.org/index.php/OWASP_Board_Meeting_July_09</a>).</div>




<div><br></div><div>In that time, many people have raised their hand to volunteer to help. In fact, Larry invested some significant time setting up the supporting infrastructure to properly segregate and delegate administrative privileges for those folks. But no one has actually committed to following through when the going gets tough.</div>




<div><br></div><div>And I don&#39;t blame them!</div><div><br></div><div>We are all volunteers here at OWASP - I certainly don&#39;t want my phone ringing at 3AM on a Saturday with a message from the community complaining that the web site is down. I certainly don&#39;t want messages in my mailbox from random leaders impatiently asking when this will be setup, or that will be finished, or this can be done. I certainly don&#39;t want to bear the brunt of criticism while receiving none of the praise associated with administering the OWASP website and infrastructure.</div>




<div><br></div><div>It&#39;s easy to be a volunteer systems administrator when there&#39;s nothing going wrong --- it all practically runs itself!</div><div><br></div><div>But when things do go wrong, through no fault of anyone, Larry has been the *only* volunteer willing to take the task by the reigns and work the grind to make sure the site goes back up in a *timely* manner (believe it or not, our uptime is actually *very* good because outages are infrequent and attended to quickly).</div>




<div><br></div><div>It is because Larry loves OWASP that he continues to do the job behind the scenes despite his expressed desire NOT to be saddled with the *responsibility* that comes with being a systems administrator.</div>




<div><br></div><div>Larry is one of the few people at OWASP that I feel truly understands that being an OWASP leader comes with a *responsibility*. While other leaders miss meetings and skip deadlines, Larry has always executed the *responsibility* of maintaining our infrastructure. We leaders can only hope to follow that example in our roles.</div>




<div><br></div><div>I feel we are grossly underestimating the value that Larry has provided in terms of systems administration. I question whether we can find a volunteer that is willing to *commit* to the same level, responding to outages in a timely manner even in the middle of personal events.</div>




<div><br></div><div>For that level of service, we probably need to pay someone. In fact, we probably should have been paying Larry all along for the emergency administration services he provides.</div><div><br></div><div>




I see that several leaders have exclaimed their desire to see Larry continue on in his role. I too would be sad to see Larry go. We at OWASP have done a *terrible* job of showing Larry the respect he deserves and I am truly sorry that he feels the need to move on.</div>




<div><br></div><div>I hope that as a community, we can determine a way to properly recognize Larry for his contributions and show him the respect he deserves - whether that respect is through compensating him fairly for his contributions that go far beyond what we can expect of a volunteer, or by simply respecting his wish to step aside.</div>




<div><br></div><div>-Jason</div><br><div class="gmail_quote">On Wed, Aug 17, 2011 at 6:12 PM, Laurence Casey <span dir="ltr">&lt;<a href="mailto:larry.casey@owasp.org" target="_blank"></a><a href="mailto:larry.casey@owasp.org" target="_blank">larry.casey@owasp.org</a>&gt;</span> wrote:<br>


<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div lang="EN-US" link="blue" vlink="purple"><div><p class="MsoNormal">Leaders,<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">I would like to thank everyone who I’ve net over the years both in person and via email only. It has come the time for me to move on to other projects. <u></u><u></u></p>




<p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">The contract is just about done for Rackspace, so here is the plan.<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p><u></u><span>1.<span style="font:7.0pt &quot;Times New Roman&quot;">       </span></span><u></u>Migrate OWASP’s wiki to the new hosted environment.<u></u><u></u></p>




<p><u></u><span>2.<span style="font:7.0pt &quot;Times New Roman&quot;">       </span></span><u></u>Migrate OWASP’s Ads to the new hosted environment.<u></u><u></u></p><p><u></u><span>3.<span style="font:7.0pt &quot;Times New Roman&quot;">       </span></span><u></u>Migrate OWASP Rugged Code to the new hosted environment.<u></u><u></u></p>




<p><u></u><span>4.<span style="font:7.0pt &quot;Times New Roman&quot;">       </span></span><u></u>Migrate OWASP’s email list content to the new hosted environment. <u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p>




<p class="MsoNormal">Once OWASP is relocated to its new home, OWASP will need to find another administrator to manage the new infrastructure. If somebody wants to step forward now and help with the move, that would be the best time to set things up the way you want. <u></u><u></u></p>




<p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">Thank again for the opportunity to be a part of this great organization.<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">--Larry Casey<u></u><u></u></p>




<p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal"><u></u> <u></u></p></div></div><br>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank"></a><a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank"></a><a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>


<br></blockquote></div><br>
</div></blockquote></div></div><blockquote type="cite"><div><span>_______________________________________________</span><br><span>Committees-chairs mailing list</span><br><span><a href="mailto:Committees-chairs@lists.owasp.org" target="_blank">Committees-chairs@lists.owasp.org</a></span><br>


<span><a href="https://lists.owasp.org/mailman/listinfo/committees-chairs" target="_blank">https://lists.owasp.org/mailman/listinfo/committees-chairs</a></span><br></div></blockquote></div>
<br>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div>