<div dir="ltr">Given this:<div><br></div><div>"Our mission is to make application security visible, so that people and organizations can make informed decisions about true application security risks."</div><div><br></div><div>Wouldn't it make more sense to engage the membership, community, and developers in general to work with their local governments, as best they can in their local circumstances? IF the mission is visibility, AND the TPP is a risk, THEN let's make it more visible!</div><div><br></div><div>S</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Oct 13, 2015 at 5:29 PM, Paul Ritchie <span dir="ltr"><<a href="mailto:paul.ritchie@owasp.org" target="_blank">paul.ritchie@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">To the <span>OWASP</span> Leadership.<div><br></div><div><u>On the topic of 'Allowable Lobbying by a 501c3 Charitable group like <span>OWASP</span></u></div><div><br></div><div><div>Just for clarity, and regardless of the outcome of this year's board elections, the <span>OWASP</span> community may do "some" lobbying and a greater share of 'Advocacy' without jeopardizing their nonprofit and 'charitable' status.  To determine "how much" is OK and how much is too much, the USA IRS has several tests on amount of time invested, and amount of money invested by the org.</div><div><br></div><div>Per the USA IRS <span>webpage</span> and rules:  <a href="https://www" target="_blank">https://www</a>.<span>irs</span>.gov/Charities-&-Non-Profits/Lobbying</div><div><i><b><br></b></i></div><div><i><b>Lobbying  --  In general, no organization may qualify for section 501(c)(3) status if<u> a substantial part of its activities</u> is attempting to influence legislation (commonly known as lobbying).  A 501(c)(3) organization<u> may engage in some lobbying, but too much lobbying activity risks loss of tax-exempt status.</u></b></i></div><div><u><i><b><br></b></i></u></div><div><i><b>Legislation includes action by Congress, any state legislature, any local council, or similar governing body, with respect to acts, bills, resolutions, or similar items (such as legislative confirmation of appointive office), or by the public in referendum, ballot initiative, constitutional amendment, or similar procedure.  It does not include actions by executive, judicial, or administrative bodies.</b></i></div><div><i><b><br></b></i></div><div><i><b>An organization will be regarded as attempting to influence legislation if it contacts, or urges the public to contact, members or employees of a legislative body for the purpose of proposing, supporting, or opposing legislation, or if the organization advocates the adoption or rejection of legislation.</b></i></div><div><br></div><div>P.Ritchie says:  This last paragraph describes an 'Advocacy' effort as opposed to a Lobbying effort.</div><div><i><b>Organizations may, however, involve themselves in issues of public policy without the activity being considered as lobbying.  For example, organizations may conduct educational meetings, <u>prepare and distribute educational materials</u>, or otherwise consider public policy issues in an educational manner without jeopardizing their tax-exempt status.</b></i></div></div><div><i><b><br></b></i></div><div>If <span>OWASP</span> community agrees to proceed with drafting a Position Statement and Educational Materials.....at the time we want to take it from 'draft planning' to 'public distribution'.....we should engage legal counsel to help define 'how much' is acceptable, and 'when our efforts become substantial' and put our nonprofit charitable status in jeopardy.</div><div><br></div><div>I've been through this before  and I trust my experiences will add value to the <span>OWASP</span> efforts.</div><div><br></div><div>Paul</div><div><i><b><br></b></i></div></div><div class="gmail_extra"><br clear="all"><div><div><div dir="ltr"><div><div dir="ltr"><div>Best Regards, Paul Ritchie</div><div>OWASP Executive Director</div><div><a href="mailto:paul.ritchie@owasp.org" target="_blank">paul.ritchie@owasp.org</a></div><div><br></div></div></div></div></div></div><div><div class="h5">
<br><div class="gmail_quote">On Tue, Oct 13, 2015 at 1:45 PM, Tobias <span dir="ltr"><<a href="mailto:tobias.gondrom@owasp.org" target="_blank">tobias.gondrom@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
  
    
  
  <div bgcolor="#FFFFFF" text="#000000">
    <div>I agree that this is an important
      issue. <br>
      <br>
      What should we do as next step? <br>
      Would a statement from OWASP in that regard be the appropriate way
      to build awareness for this potentially problematic agreement
      text? <br>
      Do Milton or Eoin maybe like to prepare a statement to run by the
      community and later release by OWASP? <br>
      Are there other steps you think we could or should initiate? <br>
      <br>
      Best regards, Tobias<div><div><br>
      <br>
      <br>
      <br>
      On 13/10/15 22:34, Eoin Keary wrote:<br>
    </div></div></div><div><div>
    <blockquote type="cite">
      
      <div>Milton, this is worth making a stand for.</div>
      <div>I hope you are successful in the
        OWASP board elections.....<br>
        <br>
        Eoin Keary
        <div>OWASP Volunteer</div>
        <div>@eoinkeary</div>
        <div><span style="font-size:13pt"><br>
          </span></div>
        <div><br>
        </div>
      </div>
      <div><br>
        On 13 Oct 2015, at 8:22 p.m., Milton Smith <<a href="mailto:milton.smith@owasp.org" target="_blank">milton.smith@owasp.org</a>>
        wrote:<br>
        <br>
      </div>
      <blockquote type="cite">
        <div><span>A related article on TPP for everyone I found this
            morning.</span><br>
          <span></span><br>
          <span>TPP requires countries to destroy security-testing tools
            (and your laptop)</span><br>
          <span><a href="http://boingboing.net/2015/10/13/tpp-requires-countries-to-seiz.html" target="_blank">http://boingboing.net/2015/10/13/tpp-requires-countries-to-seiz.html</a></span><br>
          <span>(article excerpt) "...order the destruction of devices
            and products found to be involved in" breaking digital
            locks... used to identify critical vulnerabilities in
            vehicles, surveillance devices, voting machines, medical
            implants, and many other devices in our world.</span><br>
          <span></span><br>
          <span>Among other things, this TPP provision includes
            destruction of security static/dynamic analysis tools.  It's
            difficult to know if these provisions will be adopted as
            written but I'm concerned it's on the table for discussion.
             As written, TPP will hurt industry more than it will help.
             Security researchers are not the problem.  The problem is
            vulnerable software.</span><br>
          <span></span><br>
          <span>Unfortunately, it will take politicians and rights
            holders years to learn from there mistakes.  Positive
            influence early in the policy making process will be
            beneficial for everyone including OWASP members.  I realize
            most OWASP members are not very interested in politics.
             Still unfavorable laws and regulations will make security
            even more difficult than it is today.  Think of what it
            would mean if ZAP becomes illegal software.</span><br>
          <span></span><br>
          <span>--Milton</span><br>
          <span></span><br>
          <span>On 13 Oct 2015, at 9:49, Milton Smith wrote:</span><br>
          <span></span><br>
          <blockquote type="cite"><span>I'm tracking TPP as well Tom.
               Aside from favoritism for rights holders, there are some
              provisions negatively impacting security.  Wassenaar
              Arrangement is a disaster, crypto backdoors, etc.
               Unwinding this mess will cause trouble for years.  Think
              of pass problems like ITAR.</span><br>
          </blockquote>
          <blockquote type="cite"><span></span><br>
          </blockquote>
          <blockquote type="cite"><span>OWASP must begin investing to
              positively to influence security from the top down as
              well.</span><br>
          </blockquote>
          <blockquote type="cite"><span></span><br>
          </blockquote>
          <blockquote type="cite"><span>--Milton</span><br>
          </blockquote>
          <blockquote type="cite"><span></span><br>
          </blockquote>
          <blockquote type="cite"><span>On 13 Oct 2015, at 1:40, Tom
              Brennan wrote:</span><br>
          </blockquote>
          <blockquote type="cite"><span></span><br>
          </blockquote>
          <blockquote type="cite">
            <blockquote type="cite"><span>Worth a read when you consider
                getting behind and lobbying for things that matter.</span><br>
            </blockquote>
          </blockquote>
          <blockquote type="cite">
            <blockquote type="cite"><span></span><br>
            </blockquote>
          </blockquote>
          <blockquote type="cite">
            <blockquote type="cite"><span><a href="https://www.eff.org/deeplinks/2015/10/final-leaked-tpp-text-all-we-feared" target="_blank">https://www.eff.org/deeplinks/2015/10/final-leaked-tpp-text-all-we-feared</a></span><br>
            </blockquote>
          </blockquote>
          <blockquote type="cite">
            <blockquote type="cite"><span></span><br>
            </blockquote>
          </blockquote>
          <blockquote type="cite">
            <blockquote type="cite"><span>Tom Brennan</span><br>
            </blockquote>
          </blockquote>
          <blockquote type="cite">
            <blockquote type="cite"><span><a href="tel:973-506-9304" value="+19735069304" target="_blank">973-506-9304</a></span><br>
            </blockquote>
          </blockquote>
          <blockquote type="cite">
            <blockquote type="cite"><span>_______________________________________________</span><br>
            </blockquote>
          </blockquote>
          <blockquote type="cite">
            <blockquote type="cite"><span>OWASP-Leaders mailing list</span><br>
            </blockquote>
          </blockquote>
          <blockquote type="cite">
            <blockquote type="cite"><span><a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a></span><br>
            </blockquote>
          </blockquote>
          <blockquote type="cite">
            <blockquote type="cite"><span><a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a></span><br>
            </blockquote>
          </blockquote>
          <span>_______________________________________________</span><br>
          <span>OWASP-Leaders mailing list</span><br>
          <span><a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a></span><br>
          <span><a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a></span><br>
        </div>
      </blockquote>
      <br>
      <fieldset></fieldset>
      <br>
      <pre>_______________________________________________
OWASP-Leaders mailing list
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a>
</pre>
    </blockquote>
    <br>
  </div></div></div>

<br>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div></div></div>
<br>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div>