<div dir="ltr"><div><div><div>(Moving leaders to BCC since this conversation is now off of the leaders list)<br><br><br></div><div><br>Ok, time for this conversation to be moved off of the leaders list. <br><br></div><div>
Personal attacks immediately undermine any sort of objective conversation. If it's not objective and helpful then it doesn't have a place on the leaders list.<br></div><div><br>There's no need to carry this on with such a large audience.<br>
<br></div>I'm asking both of you to take any counter points directly to one another either in person, on skype or directly via email. Feel free to involve me directly if needed. <br><br></div>However, do not continue to copy the leaders list.<br>
<br></div>-Michael<br></div><div class="gmail_extra"><br clear="all"><div><div dir="ltr"><br>--<br>Michael Coates | OWASP | @_mwc<br><br></div></div>
<br><br><div class="gmail_quote">On Wed, Nov 13, 2013 at 4:02 PM, Dennis Groves <span dir="ltr"><<a href="mailto:dennis.groves@owasp.org" target="_blank">dennis.groves@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div>
<p dir="auto">Eoin, stop blaming others for your failures.</p>

<p dir="auto">Get some balls and own up to your responsibility as a project leader. </p>

<p dir="auto">It is not the staff's job to manage your project! Further, we did not even have an OWASP employee to manage things until late 2012, and you started the project in early 2012! So your claims are simply not true - you had control of the money for the vast majority of the life of the project.  </p>


<p dir="auto">If you believe that everybody should ask the OWASP employees about your project - then it begs the question, how is it that you came to know nothing about your own project?</p>

<p dir="auto">And, If this is a successful project as you claim it is - then clearly it is not because of your involvement because you clearly do not seem to be involved enough to know anything about it. So you should be giving credit where credit is due. </p>


<p dir="auto">Regards,</p>

<p dir="auto">Dennis</p><div><div class="h5">

<p dir="auto">On 13 Nov 2013, at 16:32, Eoin Keary wrote:</p>

</div></div><blockquote><div><div class="h5">
<p dir="auto">Dinis,<br>
I don't have control over the funds. We have an OWASP employee who does that. There has been some difference of opinion with the way funds were allocated. Some projects now have lots of cash and others have none. I tried to fix this and wound up donating some OWASP funds to other projects out of he code review guide.</p>


<p dir="auto">Samantha can give you info on how funds are spent, how much and on what.</p>

<p dir="auto">Some projects are due to come in early and mid next year. But we can't rush perfection.</p>

<p dir="auto">Achievements:<br>
Funding zap promotion.<br>
Ciso guide promotion<br>
Code review guide graphic design -to do<br>
Dev guide purchased some project management software<br>
Samantha has the answers. As the OWASP employee she was tasked with management of funding and spend.</p>

<p dir="auto">Final deliverables:</p>

<p dir="auto">Code review guide 2.0<br>
Testing guide 3.0<br>
Dev guide<br>
Ciso guide</p>

<p dir="auto">Again ask the project manager please.</p>

<p dir="auto">Wiki It is out of date. Agreed. Need to fix that. But Sam should have all the metrics recorded.</p>

<p dir="auto">Eoin Keary<br>
Owasp Global Board<br>
<a href="tel:%2B353%2087%20977%202988" value="+353879772988" target="_blank">+353 87 977 2988</a></p>

<p dir="auto">On 13 Nov 2013, at 23:05, Dinis Cruz <a href="mailto:dinis.cruz@owasp.org" target="_blank">dinis.cruz@owasp.org</a> wrote:</p>

</div></div><blockquote><div><div class="h5">
<p dir="auto">I know that Eoin doesn't want to answer the questions I asked bellow, but since it looks like we're wrapping up the Projects Reboot , its important that they are answered</p>

<p dir="auto">The main reason is that when we do another project funding initiative, we can learn from this experiment and improve it.</p>

<p dir="auto">On 11 Nov 2013 15:16, "Dinis Cruz" <a href="mailto:dinis.cruz@owasp.org" target="_blank">dinis.cruz@owasp.org</a> wrote:</p>

</div></div><blockquote><div><div class="h5">
<p dir="auto">Eoin, when you say ' very successful reboot project funding' , can you be more specific on the criteria you used to reach that conclusion?</p>

<p dir="auto">For example where can I see:<br>
- all funds allocated<br>
- all funds projected to be spent<br>
- all funds actually spent<br>
- timeline of the expenditure<br>
- what was achieved with the funds spent?<br>
- the final deliverables of the project reboot 2012 (which started on Jun/Aug 2012)</p>

<p dir="auto">Also the page <a href="https://www.owasp.org/index.php/Projects_Reboot_2012" target="_blank">https://www.owasp.org/index.php/Projects_Reboot_2012</a> seems quite out of date. So I would expect that a number of the answers to my questions should be placed there (since it is important to have accurate historical documentation of this type of Owasp initiatives)</p>


<p dir="auto">Thanks</p>

<p dir="auto">On 11 Nov 2013 14:15, "Eoin Keary" <a href="mailto:eoin.keary@owasp.org" target="_blank">eoin.keary@owasp.org</a> wrote:</p>

</div></div><blockquote><div><div class="h5">
<p dir="auto">We have the very successful reboot project funding many projects. Some are to be released at appsecusa such as the ciso guide.<br>
I agree we need to spend more. If  is donated for a particular project or chapter, we can't move that money to another project that easily, given it was a donation.<br>
This is frustrating but needs to be observed to be compliant with charity law etc.</p>

<p dir="auto">Eoin Keary<br>
Owasp Global Board<br>
<a href="tel:%2B353%2087%20977%202988" value="+353879772988" target="_blank">+353 87 977 2988</a></p>

<p dir="auto">On 11 Nov 2013, at 13:15, Dinis Cruz <a href="mailto:dinis.cruz@owasp.org" target="_blank">dinis.cruz@owasp.org</a> wrote:</p>

</div></div><blockquote><div><div class="h5">
<p dir="auto">This innovation will not come from 'owasp' . The way to do it is to create a budget programme like the Owasp GSD project ( <a href="https://www.owasp.org/index.php/OWASP_GSD_Project" target="_blank">https://www.owasp.org/index.php/OWASP_GSD_Project</a>) and trust the owasp leaders with the responsibility and budget .</p>


<p dir="auto">This is the Projects/Chapters Buckets idea that I have been talking for a while now, and that idea will do more for OWASP's ability to innovate , than any discussion thread or top-down initiative</p>

<p dir="auto">On the topic of Measurement , I completely agree, and that is something that the owasp OpsTeam (the employees) should really focus on (since they are the only ones that will have the independence and motivation to do it)</p>


<p dir="auto">On 11 Nov 2013 03:03, "Jeff Williams" <a href="mailto:jeff.williams@owasp.org" target="_blank">jeff.williams@owasp.org</a> wrote:</p>

</div></div><blockquote><div><div class="h5">
<p dir="auto">I wasn't suggesting that the organization-focused goals aren't important. I'm thrilled to see OWASP continue to grow. Just saying a few of the strategic goal ideas for 2014 should be focused on our domain...</p>


</div></div><ul>
<li>Foster innovation and experimentation. One possibility is a DARPA style high-risk, high-reward proposal program... there are others.</li><div class="im">
<li>Encourage diversity.  I think the "Women in AppSec" program is great and should be expanded</li>
</div><div class="im"><li>Pursue Measurement.  As Jeremiah has correctly pointed out, nobody really knows if any of this stuff really works. Let's find out.</li>
</div><div class="im"><li>Advertise.  This isn't exactly the right word. I'm thinking of a "Truth" style campaign to help the world understand the importance of appsec</li>
</div><div class="im"><li>Encourage competition. The crypto community does this well through NIST for algorithms. Why not other defenses?</li>
</div></ul><div class="im">

<p dir="auto">--Jeff</p>

<p dir="auto">On Fri, Nov 8, 2013 at 11:21 PM, Jim Manico <a href="mailto:jim.manico@owasp.org" target="_blank">jim.manico@owasp.org</a> wrote:</p>

</div><blockquote><div class="im">
<blockquote>
<p dir="auto">Shouldn't the strategies have something to do with the mission?</p>
</blockquote>

<p dir="auto">Of course. But we also need a well run organization in order to properly serve the mission. The staff has done a remarkable job in cleaning up a lot of difficult messes that OWASP had become. There is no shame meant in that statement. OWASP is just growing up - kind of like moving from a start-up to a larger organization. The organizational changes that Colin and Josh suggest are really critical in terms of efficiency. We just want to maximize the minimal resources that we have to serve the mission.</p>


<p dir="auto">Another thing, the suggestions below from Colin and Josh are additions, not the entire set of strategic goals of the organization.</p>

<p dir="auto">Here are the past OWASP strategic goals. <a href="https://docs.google.com/a/owasp.org/document/d/19BJMDMTVWlwqMcvUfDy1Mcjtd_bKGbhu-D-VBE-7kFU/edit" target="_blank">https://docs.google.com/a/owasp.org/document/d/19BJMDMTVWlwqMcvUfDy1Mcjtd_bKGbhu-D-VBE-7kFU/edit</a></p>


<p dir="auto">We are going to be building the 2014 strategic goals after AppSecUSA (<a href="http://www.appsecusa.com" target="_blank">www.appsecusa.com</a>) on November 22rd. <a href="https://www.owasp.org/index.php/November_22,_2013" target="_blank">https://www.owasp.org/index.php/November_22,_2013</a> You are welcome to dial in and lend advice and support!</p>


<p dir="auto">If you have any suggestions as to how we can make "aggressive game changing innovation" in an open, vendor-neutral and community based way, then bring it on!</p>

<blockquote>
<p dir="auto">How are we going to change the trajectory of software development?</p>
</blockquote>

<p dir="auto">Jeff, as one of the OWASP Top Ten leaders, you have a HUGE opportunity to effect the culture of software. I see the OWASP Top Ten in almost every dev shop I run into. So I ask you, is the OWASP Top Ten 2013 an "aggressive pursuit and encouragement of game-changing innovation, not just technological but cultural"? I think that one of your biggest opportunities to see the change you want.</p>


<p dir="auto">Aloha,<br>
Jim</p>

</div><blockquote><div class="im">
<p dir="auto">How are we going to change the trajectory of software development?  How to make appsec something every developer wants to know...aspirational?</p>

<p dir="auto">The strategies ought to include aggressive pursuit and encouragement of game-changing innovation, not just technological but cultural. Otherwise we will continue to slowly lose ground in the face of rapid tech expansion.</p>


<p dir="auto">--Jeff</p>

</div><blockquote><div class="im">
<p dir="auto">On Nov 8, 2013, at 4:25 PM, Colin Watson <a href="mailto:colin.watson@owasp.org" target="_blank">colin.watson@owasp.org</a> wrote:</p>

<p dir="auto">I still quite like the "platform" and "quality" aspects.</p>

</div><ol>
<li value="1"><p dir="auto">The community (incl staff) efforts on updating design and the wiki</p><div class="im"><br>
has made a huge improvement. Contrary to the 2013 objective, the wiki<br>
stuff is improving from the bottom up, but I'm sure this will surface<br>
onto the home page soon.</div><p></p></li>
<li value="2"><p dir="auto">I'd like to see some effort in enabling "self-service" for</p><div class="im"><br>
volunteers to take some of the load off the staff e.g. "how tos and<br>
FAQs" for project leaders.</div><p></p></li>
<li value="3"><p dir="auto">I also think we need to keep pushing the "open" aspect. Make it</p><div class="im"><br>
difficult for secret groups, cliques and closed-door activities to<br>
occur.</div><p></p></li>
</ol>

<p dir="auto">Colin</p>

<blockquote><div class="im">
<p dir="auto">On 8 November 2013 21:06, Jim Manico <a href="mailto:jim.manico@owasp.org" target="_blank">jim.manico@owasp.org</a> wrote:<br>
Right on, Josh! Bring it! :)</p>

<h2>Aloha,</h2>

</div><p dir="auto">Jim Manico<br>
@Manicode<br>
<a href="tel:%28808%29%20652-3805" value="+18086523805" target="_blank">(808) 652-3805</a></p><div><div class="h5">

<p dir="auto">On Nov 8, 2013, at 4:02 PM, Josh Sokol <a href="mailto:josh.sokol@owasp.org" target="_blank">josh.sokol@owasp.org</a> wrote:</p>

<p dir="auto">I would like to add two strategic goals to this list:</p>

<p dir="auto">1) Create policies and processes to support the chapters.  Encourage them to<br>
innovate.  Create a framework to allow them to be financially<br>
self-sufficient.</p>

<p dir="auto">2) Investigate what it means to be an "OWASP member".  How do we justify<br>
becoming a paid member?  What are the benefits that paid members receive<br>
from their contributions?</p>

<p dir="auto">~josh</p>

<p dir="auto">On Fri, Nov 8, 2013 at 2:50 PM, Michael Coates <a href="mailto:michael.coates@owasp.org" target="_blank">michael.coates@owasp.org</a><br>
wrote:</p>

</div></div><blockquote><div><div class="h5">
<p dir="auto">Leaders,</p>

<p dir="auto">For the past 2 years we have set strategic goals at the board level. The<br>
purpose of these initiatives are to zero in on a few key elements where we<br>
wish to drive growth. These strategic goals are also used to prioritize and<br>
guide the operation team's tactcial goals and focus.</p>

<p dir="auto">As we're planning for 2014 I'd like to ask all of you for your thoughts<br>
and feedback on strategic goals for the OWASP foundation. Please note that<br>
these items are geared towards the owasp organization, not any specific<br>
project, conference, chapter etc. OWASP is building the platform for all of<br>
these wonderful things to occur. How should we specifically try and grow<br>
that platform in pursuit of our mission in 2014?</p>

<p dir="auto">The list of 2012 and 2013 strategic goals can be found here:<br>
<a href="https://docs.google.com/document/d/19BJMDMTVWlwqMcvUfDy1Mcjtd_bKGbhu-D-VBE-7kFU/edit" target="_blank">https://docs.google.com/document/d/19BJMDMTVWlwqMcvUfDy1Mcjtd_bKGbhu-D-VBE-7kFU/edit</a></p>

<p dir="auto">Please reply to this thread with your thoughts, comments and ideas.</p>

<p dir="auto">Thanks!</p>

<p dir="auto">--<br>
Michael Coates | OWASP | @_mwc</p>

<hr>

</div></div><p dir="auto">OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a></p>
</blockquote><div><div class="h5">

<hr>

<p dir="auto">OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a></p>

<hr>

<p dir="auto">OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a></p>
</div></div></blockquote><div><div class="h5">

<hr>

<p dir="auto">OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a></p>
</div></div></blockquote>
</blockquote>
</blockquote><div><div class="h5">

<hr>

<p dir="auto">OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a></p>
</div></div></blockquote><div><div class="h5">

<hr>

<p dir="auto">OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a></p>
</div></div></blockquote>
</blockquote><div><div class="h5">

<hr>

<p dir="auto">OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a></p>
</div></div></blockquote>
</blockquote><div><div class="h5">

<hr>

<p dir="auto">OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a></p>
</div></div></blockquote>

</div><br>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div>