<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div>Dr. Wetter,</div><div><br></div><div>I think your concerns are very important and appropriate. Thank you for bringing this up. May I suggest that you form a working group or simply make direct suggestions to the board and we can consider and vote on your proposed changes?</div><div><br></div><div>The Apache Foundation has a trademark guideline that is worth reviewing in your research. <a href="http://www.apache.org/foundation/marks/">http://www.apache.org/foundation/marks/</a> </div><div><br></div><div>ISSA is even more strict:</div><div><h3 style="margin:3px 0px 10px"><span style="font-size:19px;background-color:rgba(255,255,255,0)">1.1.3.3 Use of the Logo by Other Organizations</span></h3><p style="margin:0px 0px 10px"><span style="background-color:rgba(255,255,255,0)">The official ISSA logo may not be used by any other organization without the express written consent of the ISSA International Board.</span></p><p style="margin:0px 0px 10px"><span style="background-color:rgba(255,255,255,0)"><br></span></p>ISC2 forbids the use of their marks on any product material.</div><div><a href="https://www.isc2.org/uploadedfiles/(isc)2_public_content/legal_and_policies/logoguidelines.pdf">https://www.isc2.org/uploadedfiles/(isc)2_public_content/legal_and_policies/logoguidelines.pdf</a></div><div><br></div><div>I am sure we can find many other examples to consider when maturing our own policy.</div><div><br></div><div>It would be a great help to the foundation if you could lead an effort to suggest changes to the board.</div><div><br></div><div>Thank you Dr. Wetter,<br><div>--</div><div>Jim Manico</div><div>@Manicode</div><div>(808) 652-3805</div></div><div><br>On Nov 13, 2014, at 8:43 PM, Dirk Wetter <<a href="mailto:dirk@owasp.org">dirk@owasp.org</a>> wrote:<br><br></div><blockquote type="cite"><div><span></span><br><span>Hi folks,</span><br><span></span><br><span>I find it quite important that our branding rules <a href="https://owasp.org/index.php/Marketing/Resources#tab=BRAND_GUIDELINES">https://owasp.org/index.php/Marketing/Resources#tab=BRAND_GUIDELINES</a></span><br><span>are clear. But IMO they are not and for my taste they are way too relaxed.</span><br><span></span><br><span></span><br><span>In detail:</span><br><span></span><br><span>--</span><br><span>3. OWASP Brand may be used by OWASP Members in good standing to promote a person or company's involvement in OWASP.</span><br><span>--</span><br><span></span><br><span>Isn't this a conflict with a commercial endorsement? How is an involvement</span><br><span>defined and who defines it? And what is allowed: To put a company logo on the OWASP</span><br><span>web site or an OWASP logo on the companies web site? Or may I as an consultant</span><br><span>and OWASP member put an OWASP logo on my commercial web site -- not that I want to.</span><br><span></span><br><span>Let's say an employee of company A edits the OWASP website and as a consequence puts</span><br><span>an OWASP logo on their website. Pretty good marketing, right? What about companies</span><br><span>who do a bit more than this: are they allowed to do the same?  Or is another company B</span><br><span>allowed to hand out flyers or other materials with an OWASP logo on it?</span><br><span></span><br><span>Here are the circumstances are not clear to me as well as the definitions of "good</span><br><span>standing" and "involvement". And it goes way too far for me.</span><br><span></span><br><span>--</span><br><span>4. The OWASP Brand may be used in association with an application security assessment only if a complete and detailed methodology, sufficient to reproduce the results, is disclosed.</span><br><span></span><br><span>So a commercial pentesting company or a vendor which sells a product (black</span><br><span>box scanner) or a similar SaaS service may use the OWASP logo if they match</span><br><span>the condition of "a complete and detailed methodology"?</span><br><span></span><br><span>That is IMO too much for me too.</span><br><span></span><br><span></span><br><span>--</span><br><span>5. The OWASP Brand must not be used in a manner that suggests that The OWASP Foundation supports, advocates, or recommends any particular product or technology.</span><br><span></span><br><span>On one hand that might clarify the points above a bit -- but still leaves room for interpretation.</span><br><span>So, is one allowed to use the OWASP logo or not? I would read this that using an OWASP logo on</span><br><span>a commercial web site suggests that OWASP Foundation supports, advocates, or recommends something</span><br><span>and thus it is not allowed. A sales guy may read this differently.</span><br><span></span><br><span>That appears not clear enough to me. And: I believe we shouldn't allow the usage</span><br><span>of the OWASP logo on commercial web sites at all.</span><br><span></span><br><span></span><br><span>--</span><br><span>6.-8.</span><br><span>The OWASP Brand must not be used in a manner that suggests that a product or technology is compliant with any OWASP Materials other than an OWASP Published Standard.</span><br><span>The OWASP Brand must not be used in a manner that suggests that a product or technology can enable compliance with any OWASP Materials other than an OWASP Published Standard.</span><br><span>The OWASP Brand must not be used in any materials that could mislead readers by narrowly interpreting a broad application security category. For example, a vendor product that can find or protect against forced browsing must not claim that they address all of the access control category.</span><br><span></span><br><span>Those three actually narrows the usage -- which is in principle not bad -- however OTOH the narrowing</span><br><span>suggests to me that everything else would be allowed.</span><br><span></span><br><span></span><br><span>Am I missing something or is it just me (language problem)?</span><br><span></span><br><span></span><br><span></span><br><span>Cheers, Dirk</span><br><span></span><br><span></span><br><span></span><br><span></span><br><span>-- </span><br><span>German OWASP Board, (Chair AppSec Research 2013, German OWASP Day 2014)</span><br><span>Send me encrypted mails (Key ID 0xB818C039)</span><br><span></span><br><span>_______________________________________________</span><br><span>OWASP-Leaders mailing list</span><br><span><a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a></span><br><span><a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a></span><br></div></blockquote></body></html>