<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div>I will - for sure - put this on the June 24th Board meeting agenda. My opinion (based on research over the years trying to understand my duty to the foundation) is to keep AWAY from any even slight attempt to influence legislation.</div><div><br></div><div>In general I see projects, documentation efforts and  conferences doing much to unite us in our shared mission. But start discussing politics and it will go a long way to divide us as a community.</div><div><br></div><div>I suggest that we focus on •doing something• vs •saying something•. </div><div><br></div><div>Imagine funding open source projects similar to Whisper Systems or enhancing our documentation projects to be much more up to date and relevant our building professional open source training material? This is how I think the foundation can best face these issues while at the same time serve our mission while at the same time keep away from influencing legislation. :)</div><div><br></div><div>And for what it's worth, I strongly dislike the fact that I'm bringing these things up. I'm not trying to ruin anyones party here. But I do feel it's my duty as your elected board member to do so.</div><div><br></div><div>Aloha,</div><div>--<br><div>Jim Manico</div><div><div apple-content-edited="true" class=""><div class="" style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;"><div class=""><span style="background-color: rgba(255, 255, 255, 0);">Global Board Member</span></div><span style="background-color: rgba(255, 255, 255, 0);">OWASP Foundation</span><div class=""><a href="https://www.owasp.org/" class="" style="background-color: rgba(255, 255, 255, 0);"><font color="#000000">https://www.owasp.org</font></a></div></div></div><div class=""><span style="background-color: rgba(255, 255, 255, 0);">Join me at <a href="http://appsecusa.org/" target="_blank" class="">AppSecUSA</a> 2015 in San Francisco!</span></div></div></div><div><br>On Jun 21, 2015, at 1:23 PM, McGovern, James <<a href="mailto:james.mcgovern@hp.com">james.mcgovern@hp.com</a>> wrote:<br><br></div><blockquote type="cite"><div><span>Jim, while you are going to the board for legal clarification, please inquire:</span><br><span></span><br><span>1. 501c3 is a US thing. Can we influence non-US government and still comply?</span><br><span>2. Understanding the US political issues sometimes will put us on a partisan path. For example, in CT I have commented in the past in a political context on why smart guns are just plain stupid. This particular issue leans more conservative/libertarian than it does Liberal. Therefore, we must attempt to understand the flow of politics on any given Sunday.</span><br><span>3. Maybe we could somehow solve this by having a policy that encourages legislators of all parties to reach out to their local chapter leader for an informed opinion.</span><br><span></span><br><span>-----Original Message-----</span><br><span>From: <a href="mailto:owasp-community-bounces@lists.owasp.org">owasp-community-bounces@lists.owasp.org</a> [<a href="mailto:owasp-community-bounces@lists.owasp.org">mailto:owasp-community-bounces@lists.owasp.org</a>] On Behalf Of Jim Manico</span><br><span>Sent: Saturday, June 20, 2015 4:37 PM</span><br><span>To: Kevin W. Wall</span><br><span>Cc: OWASP Board List; <a href="mailto:owasp-community@lists.owasp.org">owasp-community@lists.owasp.org</a>; owasp-leaders</span><br><span>Subject: Re: [Owasp-community] [Owasp-board] IAB Statement on the Trade in Security Technologies</span><br><span></span><br><span>I agree with you Kevin. Even the IRS is cagey about this topic. </span><br><span></span><br><span>However, this is an organization risk that I feel we should be aware of before charging to far into policy. It would behoove is to get legal review before going to far. I'll bring this up at the next board meeting.</span><br><span></span><br><span>Aloha,</span><br><span>--</span><br><span>Jim Manico</span><br><span>@Manicode</span><br><span>(808) 652-3805</span><br><span></span><br><blockquote type="cite"><span>On Jun 20, 2015, at 9:47 AM, Kevin W. Wall <<a href="mailto:kevin.w.wall@gmail.com">kevin.w.wall@gmail.com</a>> wrote:</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>Jim,</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><blockquote type="cite"><span>On Sat, Jun 20, 2015 at 2:55 PM, Jim Manico <<a href="mailto:jim.manico@owasp.org">jim.manico@owasp.org</a>> wrote:</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>That is fair Michael.</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span></span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>But I do want to warn the community that this is a slippery slope, we </span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>are being watched, and trying to influence legislation is one of the </span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>few ways OWASP can lose it's charitable status. And if that happens, </span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>the debate about what to do with our funds will quickly change for the worse.</span><br></blockquote></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>I don't think that it is impossible for charitable organizations to </span><br></blockquote><blockquote type="cite"><span>comment on public possible without loosing their 501(c)(3) status, but </span><br></blockquote><blockquote type="cite"><span>it just has to be done in the right way. (However, IANAL, so I don't </span><br></blockquote><blockquote type="cite"><span>even begin to know the details of what that "right way" would entail.)</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>As a case in point, the ACM has a 501(c)(3) not-for-profit status, and </span><br></blockquote><blockquote type="cite"><span>yet their public policy arm--the USACM--has certainly tried to </span><br></blockquote><blockquote type="cite"><span>influence public policy. (Recall the crypto debate from the late </span><br></blockquote><blockquote type="cite"><span>1990s? The USACM and IEEE wrote a letter to Sen. John McCain to try to </span><br></blockquote><blockquote type="cite"><span>influence the US legislation not to pass laws to mandate weak </span><br></blockquote><blockquote type="cite"><span>encryption. E.g., see</span><br></blockquote><blockquote type="cite"><span><<a href="http://usacm.acm.org/privsec/details.cfm?type=Letters&id=18&cat=8&Pri">http://usacm.acm.org/privsec/details.cfm?type=Letters&id=18&cat=8&Pri</a></span><br></blockquote><blockquote type="cite"><span>vacy%20and%20Security>.)</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>So I'm guessing that the devil is in the details of how it is done.  </span><br></blockquote><blockquote type="cite"><span>In fact, according to Spaf's blog at </span><br></blockquote><blockquote type="cite"><span><<a href="https://www.cerias.purdue.edu/site/blog/post/deja_vu_all_over_again_t">https://www.cerias.purdue.edu/site/blog/post/deja_vu_all_over_again_t</a></span><br></blockquote><blockquote type="cite"><span>he_attack_on_encryption/> the USACM is going through this same this </span><br></blockquote><blockquote type="cite"><span>this again. Like I said, I am not a lawyer and maybe this attempt to </span><br></blockquote><blockquote type="cite"><span>influence public policy doesn't strictly qualify as "lobbying" in the </span><br></blockquote><blockquote type="cite"><span>eyes of the IRS. But it certainly doesn't seem impossible.</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>Also, we can--and should--all speak out strongly against things that </span><br></blockquote><blockquote type="cite"><span>we believe are against the OWASP mission, but we don't have to do it </span><br></blockquote><blockquote type="cite"><span>in a manner as representing OWASP. Do that on your personal blogs or </span><br></blockquote><blockquote type="cite"><span>social media instead of OWASP mailing lists and there shouldn't be an </span><br></blockquote><blockquote type="cite"><span>issue, especially if you add a short disclaimer as to how your opinion </span><br></blockquote><blockquote type="cite"><span>does not necessarily affect the opinion of OWASP overall (in the cases when there might be some doubt).</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>So perhaps if we decide that we officially want to speak out on </span><br></blockquote><blockquote type="cite"><span>certain public policy as an organization in order to influence public </span><br></blockquote><blockquote type="cite"><span>policy in accordance with our mission statements, then someone who </span><br></blockquote><blockquote type="cite"><span>understands the nuances of the 501(c)(3) IRS regulations could help </span><br></blockquote><blockquote type="cite"><span>OWASP navigate these waters.</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>-kevin</span><br></blockquote><blockquote type="cite"><span>--</span><br></blockquote><blockquote type="cite"><span>Blog: <a href="http://off-the-wall-security.blogspot.com/">http://off-the-wall-security.blogspot.com/</a></span><br></blockquote><blockquote type="cite"><span>NSA: All your crypto bit are belong to us.</span><br></blockquote><span>_______________________________________________</span><br><span>Owasp-community mailing list</span><br><span><a href="mailto:Owasp-community@lists.owasp.org">Owasp-community@lists.owasp.org</a></span><br><span><a href="https://lists.owasp.org/mailman/listinfo/owasp-community">https://lists.owasp.org/mailman/listinfo/owasp-community</a></span><br></div></blockquote></body></html>