<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div>Hi Josh, </div><div>Vendor neutral great, but for a fee you can sponsor a project and have your logo on it.</div><div>:)</div><div><br></div><div><br><br>Eoin Keary<div>OWASP Volunteer</div><div>@eoinkeary</div><div><span style="font-size: 13pt;"><br></span></div><div><br></div></div><div><br>On 14 Aug 2015, at 16:22, Josh Sokol <<a href="mailto:josh.sokol@owasp.org">josh.sokol@owasp.org</a>> wrote:<br><br></div><blockquote type="cite"><div><div dir="ltr">I think I see both sides of this pretty well.  On one hand, you have people contributing to the Foundation either through their work efforts or with money and some recognition for their contributions is definitely deserved.  On the other hand, vendor neutrality is a key part of OWASP's mission so that the community can get unbiased content from a trusted source.  There is no clear and easy answer, however.  What I would like to propose is that those representing both sides of this critical issue form a new committee to discuss OWASP branding policies and procedures and ultimately generate a revised policy that hopefully addresses these issues.  Our policies as they are today suggest that we err on the side of vendor neutrality and the staff is only enforcing those policies that have been laid out before them.  Please do not fault them for that.  Instead of complaining about the policies that exist, it would be far more beneficial for those involved in this discussion to put those efforts into coming up with a compromise that ideally addresses the concerns of everybody in a vendor neutral way.  Some ideas off the top of my head:<br><ul><li>Clear labeling of the contribution and what was received for the contribution in the spirit of transparency.</li><li>Disclaimers on any page with a corporate logo that OWASP does not endorse the vendor/product.</li><li>Descriptions of what types of logos are appropriate, sizes, locations, etc.</li></ul><p>Attribution is a good thing.  It encourages more participation by rewarding those who put in the efforts.  Vendor neutrality is a good thing.  It is the reason why the community trusts OWASP for tools and documents.  Let's find the common ground and create a policy that finds the right balance between the two.<br></p><p>~josh<br></p></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Aug 14, 2015 at 9:47 AM, Eoin Keary <span dir="ltr"><<a href="mailto:eoin.keary@owasp.org" target="_blank">eoin.keary@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto"><div>It's not about time.....</div><div>It's about the sea of red tape, focus on bullsh1t like updating policy documents, chasing people over email footers or logos on slides and the reason OWASP was formed was to fix software security. I'm not seeing so much of the software security aspect anymore.</div><div>I love what OWASP stands for, many of the board I have vast amounts of respect for but the amount of energy and time consumed on stuff that simply has no impact if he state of software security is astounding. It's like the UN, lots of bark but little bite. </div><div><br></div><div>Respect<span class=""><br><br>Eoin Keary<div>OWASP Volunteer</div><div>@eoinkeary</div><div><span style="font-size:13pt"><br></span></div><div><br></div></span></div><div><div class="h5"><div><br>On 14 Aug 2015, at 15:03, Azeddine Islam Mennouchi <<a href="mailto:azeddine.mennouchi@owasp.org" target="_blank">azeddine.mennouchi@owasp.org</a>> wrote:<br><br></div><blockquote type="cite"><div><div dir="ltr">Johanna,<div>what you are saying is almost like Saying : "I donate money to a childcare but I will take a chair as a souvenir" (if everyone took something from the childcare the donation will have no value)</div><div>if you don't have the time to volunteer just don't it is as simple as this</div><div>let's not redefine the Volunteering concept here please</div><div><br></div><div>Regards Islam, </div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Aug 14, 2015 at 6:54 AM, Eoin Keary <span dir="ltr"><<a href="mailto:eoin.keary@owasp.org" target="_blank">eoin.keary@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto"><div>I'm behind you 100%</div><div>I received a negative email after delivering a free class to 80 people and raising €3k for Owasp. All time and slides donated by me.</div><div>I posted the slides to an alternative site after.<br><br>Eoin Keary<div>OWASP Volunteer</div><div>@eoinkeary</div><div><span style="font-size:13pt"><br></span></div><div><br></div></div><div><br>On 14 Aug 2015, at 13:14, johanna curiel curiel <<a href="mailto:johanna.curiel@owasp.org" target="_blank">johanna.curiel@owasp.org</a>> wrote:<br><br></div><blockquote type="cite"><div><div dir="ltr">I just think the whole logo and branding rule are hypocritical rules.<div><br></div><div>When OWASP does a conference, logos from sponsors can be placed loud and clear on the APPSEC page. Is that vendor neutral? </div><div><br></div><div>When a speaker that gets no money and no coverage for his/her traveling cost does the same on their slides then 'we are non-profit' and cannot be done.,,</div><div><br></div><div> The sole purpose of OWASP events is to pay operations but operations is not the mission of owasp right? </div><div><br></div><div>Keep the core mission insight. I don't care which logo is displaying or not on those slides as long as the content is valuable and the speaker is worth of listening. </div><div><br></div><div>If OWASP wants no logos and has all these rules then I think , pay the speaker & his time to set that presentation in that format. </div><div><br></div><div>Sometimes volunteers are treated like we should be happy we work for nothing.</div><div><br></div><div>We should be happy to have Dave Rook present for free and not the other way around and explain that awesome experience implementing security where he is working. Love those slides they rock & they are cool.A lot of time when into making those slides and we should respect that.</div><div><br></div><div>Volunteers have bills to pay and mouths too feed too. </div><div><br></div><div>Regards</div><div><br></div><div>Johanna</div><div><br></div><div><br></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Aug 14, 2015 at 7:25 AM, Tom Brennan <span dir="ltr"><<a href="mailto:tomb@proactiverisk.com" target="_blank">tomb@proactiverisk.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto"><div>AppSecUSA should have sessions for collaboration of people on top issues of projects, chapters and events.  in addition to fantastic presentations as always.  Blog posts like this should be reviewed as they have merit and I support covering a honorarium for speakers as they are the product.</div><div><br></div><div><a href="http://www.alba13.com/2014/10/free-its-just-costing-too-much.html?m=1" target="_blank">http://www.alba13.com/2014/10/free-its-just-costing-too-much.html?m=1</a></div><div><br></div><div>As well as top community issues that are bubbling up not always addressed at the monthly board meetings.<br><br>I submitted my recommendations for  several sessions for the community evolution aspect of the global event including these and by who... I hope some of these suggestions are incorporated and resonate with leaders to attend.</div><div><br></div><div> <b style="color:rgba(0,0,0,0.701961);background-color:rgba(255,255,255,0)">#1 OWASP State of the Union (30)</b><div style="color:rgba(0,0,0,0.701961);text-decoration:-webkit-letterpress"><div><span style="background-color:rgba(255,255,255,0)">* Paul CEO / Board of Directors</span></div><div><span style="background-color:rgba(255,255,255,0)">- State of the Union address and kickoff - Annual report and YTD update</span></div><div><span style="background-color:rgba(255,255,255,0)">- Mission, Metrics and Finances</span></div></div><div style="color:rgba(0,0,0,0.701961);text-decoration:-webkit-letterpress"><span style="background-color:rgba(255,255,255,0)">- kick off the event hand off to conference staffer (Laura) and conference chair (Michael) </span></div><div style="color:rgba(0,0,0,0.701961);text-decoration:-webkit-letterpress"><br></div><div style="color:rgba(0,0,0,0.701961);text-decoration:-webkit-letterpress"><b>AppSecUSA leader workshops </b>- join us for a important updates, debate and collaboration for FUTURE and current leadership of OWASP members. If you want to unlock valuable information don't miss these (3) sessions</div><div style="color:rgba(0,0,0,0.701961);text-decoration:-webkit-letterpress"><br></div><div style="color:rgba(0,0,0,0.701961);text-decoration:-webkit-letterpress">** record these sessions video and get them online for the world to see and listen to just like any other session.</div><div style="color:rgba(0,0,0,0.701961);text-decoration:-webkit-letterpress"><br></div><div style="color:rgba(0,0,0,0.701961);text-decoration:-webkit-letterpress"><div><br></div><div><div><span style="background-color:rgba(255,255,255,0)"><b>How to start or grow a OWASP Chapter in your region (45 mins)</b></span></div><div>* Paul, Noreen, Kelly</div><div>- metrics that matter </div><div><span style="background-color:rgba(255,255,255,0)">- requirements defined 15 mins</span></div><div><span style="background-color:rgba(255,255,255,0)">- tips form out chapter leaders (panel) 30 mins</span></div><div><span style="background-color:rgba(255,255,255,0)">-- growing attendance</span></div><div><span style="background-color:rgba(255,255,255,0)">-- vendor relationships/sponsors</span></div><div><span style="background-color:rgba(255,255,255,0)">-- regional events</span></div><div><span style="background-color:rgba(255,255,255,0)">-- how OWASP employees help</span></div><div><span style="background-color:rgba(255,255,255,0)">-- money in/out other</span></div><div><span style="background-color:rgba(255,255,255,0)">-- secrets to success</span></div><div><span style="background-color:rgba(255,255,255,0)">-- WASPY awards</span></div><div><span style="background-color:rgba(255,255,255,0)"><br></span></div><div style="color:rgb(0,0,0)"><b>2016 services and resources for OWASP chapter and project leaders (45mins)</b></div></div><div style="color:rgb(0,0,0)">* Paul, Noreen, Claudia</div><div style="color:rgb(0,0,0)">-- metrics that matter</div><div style="color:rgb(0,0,0)">-- annual report review</div><div style="color:rgb(0,0,0)">-- general membership</div><div style="color:rgb(0,0,0)">-- projects</div><div style="color:rgb(0,0,0)">-- chapters</div><div style="color:rgb(0,0,0)">--WASPY awards</div><div style="color:rgb(0,0,0)">-- what can we do better discussion</div><div style="color:rgb(0,0,0)"><br></div><div style="color:rgb(0,0,0)"><b>2016 + Summits Conferences Events (45 mins)</b></div><div style="color:rgb(0,0,0)">** Laura, Noreen, Claudia, Kelly</div><div style="color:rgb(0,0,0)">-- metrics that matter</div><div style="color:rgb(0,0,0)">-- motivation why do it?</div><div style="color:rgb(0,0,0)">-- the new definition(s), money splits etc.</div><div style="color:rgb(0,0,0)">-- expectations and current policy</div><div style="color:rgb(0,0,0)">-- resources (budgets, templates, process) review of successful and failure events</div><div style="color:rgb(0,0,0)">-- WASPY awards</div><div style="color:rgb(0,0,0)"><br></div><div style="color:rgb(0,0,0)">The organization is an interesting position for evolution.  With professional discussion and debate we can set the agenda moving forward with swift adjustments where needed by rough consensus.</div></div><br>Tom Brennan<div><a href="tel:9732020122" value="+19732020122" target="_blank">9732020122</a></div><div><br></div><div>Need to book a meeting for a new or existing project? <a href="http://www.proactiverisk.com/book-meeting/" target="_blank">http://www.proactiverisk.com/book-meeting/</a></div><div><br></div></div><div><div><div><br>On Aug 14, 2015, at 6:36 AM, Dinis Cruz <<a href="mailto:dinis.cruz@owasp.org" target="_blank">dinis.cruz@owasp.org</a>> wrote:<br><br></div><blockquote type="cite"><div><p dir="ltr">Sorry if I gave the impression that this is urgent, it is not</p>
<p dir="ltr">I'm just trying to raise a concern that was raised to me</p>
<div class="gmail_quote">On 14 Aug 2015 10:36, "Jim Manico" <<a href="mailto:jim.manico@owasp.org" target="_blank">jim.manico@owasp.org</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
  
    
  
  <div bgcolor="#FFFFFF" text="#000000">
    Dinis,<br>
    <br>
    Two points.<br>
    <br>
    1) Mr Rook is on vacation. I do not agree with your sense of
    urgency. We hired a full time staff, lets please use them first as
    opposed to heated conversations over Twitter.<br>
    <br>
    2) Dinis, I am just one of several board members. Please just email
    the board list if you think this is a board level issue (as opposed
    to just calling me out over Twitter, I am just one board member).<br>
    <br>
    So Dinis, I asked you politely to first talk to staff about this,
    and if you did not find that satisfactory, then to email the board
    list so the full board can weigh in.<br>
    <br>
    And I suggested these things to minimize stress and get more
    leadership to look at this - as opposed to having a Twitter argument
    over this.<br>
    <br>
    Dinis, I am trying to take the adult and calm path here. Please join
    me in that pursuit.<br>
    <br>
    Aloha,<br>
    Jim<br>
    <br>
    <br>
    <br>
    <div>On 8/13/15 10:04 PM, Dinis Cruz wrote:<br>
    </div>
    <blockquote type="cite">
      <p dir="ltr">CCing owasp leaders list in order to get 'feedback'
        from the community</p>
      <p dir="ltr">And Jim come on, owasp is not a Fortune 100 company
        with high levels of processes and bureaucracy, the problem is
        pretty obvious on the <a href="https://twitter.com/davidrook/status/631699570603462656" target="_blank">https://twitter.com/davidrook/status/631699570603462656</a>
        thread (and a couple other similar threads)</p>
      <p dir="ltr">This is a case of common sense.</p>
      <p dir="ltr">The focus of owasp needs to be on application
        security (for example sharing knowledge), not in blindly
        following rules</p>
      <p dir="ltr">Yes we need to have rules in place to prevent abuse
        (in this case vendor pitches), but if those rules start to
        affect high value owasp contributors, then there is something
        wrong with the rules</p>
      <div class="gmail_quote">On 13 Aug 2015 21:11, "Jim Manico" <<a href="mailto:jim.manico@owasp.org" target="_blank"></a><a href="mailto:jim.manico@owasp.org" target="_blank">jim.manico@owasp.org</a>>
        wrote:<br type="attribution">
        <blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
          <div bgcolor="#FFFFFF" text="#000000"> > So what happens
            when the content is not from a 'vendor'<br>
            <br>
            Our guidelines do not differentiate that right now. So what
            Paul is doing is following the current policy that was
            created by input from a large number of people from our
            community.<br>
            <br>
            Dinis, if you think this needs to be changed then I believe
            your next step is to petition the board to change policy.
            Even better, before talking to the board, consider taking
            this conversation to the governance list and get feedback
            from those members of our community.<br>
            <br>
            Aloha,<br>
            Jim<br>
            <br>
            <div>On 8/13/15 9:42 AM, Dinis Cruz wrote:<br>
            </div>
            <blockquote type="cite">
              <p dir="ltr">So what happens when the content is not from
                a 'vendor'?</p>
              <p dir="ltr">Which is David's case</p>
              <div class="gmail_quote">On 13 Aug 2015 20:26, "Paul
                Ritchie" <<a href="mailto:paul.ritchie@owasp.org" target="_blank">paul.ritchie@owasp.org</a>>

                wrote:<br type="attribution">
                <blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
                  <div dir="ltr">
                    <div>Hi Dinis:    I wanted to follow up on your
                      email from yesterday as well as your posting of a
                      "case" or customer service ticket #  06774.   Long
                      answer.....explaining the OWASP position and our
                      actions, and we have communicated this a couple
                      times to the community, but obviously need to do
                      more......</div>
                    <div><br>
                    </div>
                    <div><u>Big Issue</u> is our effort from the
                      Foundation to "remind and encourage" Chapter
                      leaders to follow the Branding Guidelines, Code of
                      Ethics and Speaker Agreement as defined in the
                      Chapter Leaders Handbook.    The more support we
                      can get from leaders like you and Jim and BoD,
                      then the less 'pushback' we will see from
                      individuals who are uncomfortable being reminded
                      of the policy.</div>
                    <div><br>
                    </div>
                    <div>1.  We noticed the adherence to the policy was
                      getting a little weak, based on several examples
                      where policy wasn't followed.  Examples included
                      leaders and past BoD members too.</div>
                    <div><br>
                    </div>
                    <div>2.  Once we pointed out the policy, several of
                      the key leaders, like Eoin & now David were
                      "surprised" that we were serious, and actually
                      gave us some push back.</div>
                    <div><br>
                    </div>
                    <div>3.  Bottom line, I understand the pushback, but
                      we really "must" ask OWASP Leaders to follow the
                      policy.</div>
                    <div><br>
                    </div>
                    <div>4.  As a Charitable, nonprofit organization,<u>
                        we have an obligation to follow our Code of
                        Conduct</u> concerning vendor neutrality and
                      non-endorsement of commercial products or
                      services.</div>
                    <div>
                      <div><br>
                      </div>
                      <div>Our Code of Conduct policies are<u> well
                          documented and were created by our community</u>,
                        to provide clarity as we grow globally.  They
                        apply to many areas including Trade
                        organizations, Government bodies, Standards
                        groups and Certifying Bodies. </div>
                      <div><br>
                      </div>
                      <div><a href="https://www.owasp.org/index.php/OWASP_Codes_of_Conduct" target="_blank">https://www.owasp.org/index.php/OWASP_Codes_of_Conduct</a></div>
                    </div>
                    <div><br>
                    </div>
                    <div>5.  Also, For speakers at events AND at Chapter
                      Meetings, the Speakers agreement does apply, and
                      it is noted in the Chapters Leaders Handbook.</div>
                    <div><br>
                    </div>
                    <div>Speakers Agreement</div>
                    <div>
                      <div><i>CONTENT - Speakers are encouraged to
                          include their contact information when
                          introducing themselves,<u> but may NOT include
                            their logo on any visual and handout
                            materials.</u> Speakers are to <u>avoid any
                            appearance of commercialism in their session</u>
                          and presentations are to be of a technical or
                          solutions emphasis. Further, I understand that
                          the program tracks of the
                          conference/event/chapter are an educational
                          event, not a sales or marketing platform. I
                          agree that my presentation(s) will be an
                          objective review of the topic on which I am
                          presenting, and will not contain any content
                          that is a sales or promotional pitch for any
                          specific product(s) or company(ies). My
                          materials will also be reflective of the
                          current status of the topic(s) I am
                          addressing.</i></div>
                    </div>
                    <div><br>
                    </div>
                    <div>6.  So, Net, net.   <span style="font-size:12.8000001907349px">We are
                        reaching out to a number of chapters who have
                        posted presentations to the OWASP wiki that
                        appear to violate our </span><span style="font-size:12.8000001907349px">branding</span><span style="font-size:12.8000001907349px"> rules. All
                        presentations given at chapter meetings or at
                        conferences when representing OWASP, and those
                        posted to wiki pages must be vendor neutral.
                        This includes the content of the presentation as
                        well as the graphics used in the presentation
                        layout. </span></div>
                    <div><span style="font-size:12.8000001907349px"><br>
                      </span></div>
                    <div><span style="font-size:12.8000001907349px">Any
                        non-OWASP </span><span style="font-size:12.8000001907349px">branded</span><span style="font-size:12.8000001907349px"> material,
                        such as a speaker's corporate logo, must be
                        removed from the presentation. </span><span style="font-size:12.8000001907349px">Exceptions
                        may exist such as when the context of a slide
                        calls for a logo as an illustration. And, we am
                        happy to review anything that might be
                        questionable.</span></div>
                    <div><br>
                    </div>
                    <div>So, @Jim and @Dinis - Is there something we
                      need to do to reach out directly to any
                      individuals like David Rook?</div>
                    <br clear="all">
                    <div>
                      <div>
                        <div dir="ltr">
                          <div>
                            <div dir="ltr">
                              <div>Best Regards, Paul Ritchie</div>
                              <div>OWASP Executive Director</div>
                              <div><a href="mailto:paul.ritchie@owasp.org" target="_blank">paul.ritchie@owasp.org</a></div>
                              <div><br>
                              </div>
                            </div>
                          </div>
                        </div>
                      </div>
                    </div>
                  </div>
                </blockquote>
              </div>
            </blockquote>
            <br>
            <pre cols="72">-- 
Jim Manico
Global Board Member
OWASP Foundation
<a href="https://www.owasp.org" target="_blank">https://www.owasp.org</a>
Join me at AppSecUSA 2015!</pre>
          </div>
        </blockquote>
      </div>
    </blockquote>
    <br>
    <pre cols="72">-- 
Jim Manico
Global Board Member
OWASP Foundation
<a href="https://www.owasp.org" target="_blank">https://www.owasp.org</a>
Join me at AppSecUSA 2015!</pre>
  </div>

</blockquote></div>
</div></blockquote></div></div><blockquote type="cite"><div><span>_______________________________________________</span><br><span>OWASP-Leaders mailing list</span><br><span><a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a></span><br><span><a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a></span><br></div></blockquote></div>
<br>
<font size="1"><span style="font-family:'Courier New',Courier,mono;background-color:rgb(255,255,255)">WARNING: E-mail transmission cannot be guaranteed to be secure or error-free as information could be intercepted, corrupted, lost, destroyed, arrive late or incomplete, or contain viruses. The sender therefore does not accept liability for any errors or omissions in the contents of this message, which arise as a result of e-mail transmission. </span><span style="background-color:rgb(255,255,255);font-family:'Courier New',Courier,mono">No employee or agent is authorized to conclude any binding agreement on behalf of ProactiveRISK with another party by email.</span></font><div style="font-size:1.3em"><span style="font-family:'Courier New',Courier,mono;background-color:rgb(255,255,255)"><br></span></div><br>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div></div>
</div></blockquote><blockquote type="cite"><div><span>_______________________________________________</span><br><span>OWASP-Leaders mailing list</span><br><span><a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a></span><br><span><a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a></span><br></div></blockquote></div><br>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br><br clear="all"><div><br></div>-- <br><div><div dir="ltr"><div>Islam Azeddine Mennouchi</div><div>Consultant at ITS</div><div><a href="http://www.infotoolssolutions.dz/" target="_blank">http://www.infotoolssolutions.dz/</a><br>OWASP ALGERIA Chapter Leader<br>phone n°: <a href="tel:%2B213658227651" value="+213658227651" target="_blank">+213658227651</a></div></div></div>
</div>
</div></blockquote></div></div></div><br>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div>
</div></blockquote></body></html>