<div dir="ltr">>>If you’d want to keep your “users” happy and your “contributors” unhappy, you should think of a commercial organisation instead of an open one.<br><div><span style="font-size:13px"><br></span></div><div>I think this is a very difficult balance to do. I understand from your pov as contributor but fact is, OWASP has also a reputation of being 'secure' so probably the expectations are higher because we preach security. </div><div><br></div><div>Look ,I volunteer too but my proposals get questioned and criticised  in a way that it feels to me  like I've been questioned as an employee and not a volunteer, but in a certain way, if you look deeply, people questioning my proposals wants to achieve goals that are aligned with OWASP mission. And that means I have to work harder to present my arguments. Not because the effort is 'volunteered' means it does not hold certain responsabilities.</div><div><br></div><div>Let  me ask you: Has this project ever been tested to verify how well it works or not? Most projects at OWASP does not have any form of QA. Security libraries hold more responsibility in this case.</div><div><br></div><div>This is a security library and if it contains security issues then this is a problem. This does not align with the mission, even if a lot of work was put to create this project.</div><div><br></div><div>I don't think they are trolling you. They have valid points and their complain is that it is not responsible to leave this library to be used if it holds these issues or are not properly explained. And is not only the crypto issue.</div><div><br></div><div>Regards</div><div><br></div><div>Johanna</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Nov 25, 2015 at 2:28 PM, Abbas Naderi <span dir="ltr"><<a href="mailto:abiusx@owasp.org" target="_blank">abiusx@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word">I agree with all of that.<div><br></div><div>This is an open source project. If they find issues, specially tiny issues that can be fixed with a few lines of code,</div><div>they are welcome to do so. That is not grounds for deleting a project.</div><div><br></div><div>The way I see it, is that they are trolling, and not helping. I have not created this library, and I’m only defending it because it is the right thing to do.</div><div>If you’d want to keep your “users” happy and your “contributors” unhappy, you should think of a commercial organization instead of an open one.</div><div><br></div><div>Regards</div><span class="HOEnZb"><font color="#888888"><div>-Abbas</div></font></span><div><div class="h5"><div><br><div><blockquote type="cite"><div>On Nov 25, 2015, at 1:25 PM, johanna curiel curiel <<a href="mailto:johanna.curiel@owasp.org" target="_blank">johanna.curiel@owasp.org</a>> wrote:</div><br><div><div dir="ltr">Abbas<div><br></div><div>I think they made very strong points and the project is right now inactive since it has not been updated in more than a year.</div><div><br></div><div>The people commenting on your project have themselves quite reputation too.</div><div><br></div><div>I think if these issues cannot be fixed by you since you are the leader and since the project is inactive, the best is to warn users.</div><div>Sven who was a contributor also acknowledge the issues.</div><div><br></div><div>By the way , from complains of multiple PHP developers in the github page of the project to now twitter means they are not happy and they are trying to escalate their concerns.Thats how I see this.</div><div><br></div><div>regards</div><div><br></div><div>Johanna</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Nov 25, 2015 at 2:20 PM, Abbas Naderi <span dir="ltr"><<a href="mailto:abiusx@owasp.org" target="_blank">abiusx@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word">They are trying to troll the project.<div>Read the thread at <a href="https://github.com/OWASP/phpsec/issues/108#issuecomment-159676446" target="_blank">https://github.com/OWASP/phpsec/issues/108#issuecomment-159676446</a> to realize that.</div><div>We have provided ample opportunity for them to contribute, fix, or help the project.</div><div>All they want is to take the project down, which I obviously refuse.</div><div><br></div><div>I don’t think it really hurts OWASP reputation. If anyone delves into the technical discussions that would be apparent.</div><div>Regards</div><span><font color="#888888"><div>-Abbas</div></font></span><div><div><div><br></div><div><div><blockquote type="cite"><div>On Nov 25, 2015, at 1:17 PM, johanna curiel curiel <<a href="mailto:johanna.curiel@owasp.org" target="_blank">johanna.curiel@owasp.org</a>> wrote:</div><br><div><div dir="ltr">Hi Erlend<div><br></div><div>We are aware of the issues and remediation is underway ;-)</div><div><br></div><div>regards</div><div><br></div><div>Johanna</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Nov 25, 2015 at 1:54 PM, Jim Manico <span dir="ltr"><<a href="mailto:jim.manico@owasp.org" target="_blank">jim.manico@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
  
    
  
  <div bgcolor="#FFFFFF" text="#000000">
    Yup, it's bad.<br>
    <br>
    Johanna Curiel and Claudia are leading the charge here. They are in
    the process of fully removing the project from GitHub. As in, right
    now…<br>
    <br>
    - Jim<div><div><br>
    <br>
    <br>
    <div>On 11/25/15 7:50 PM,
      <a href="mailto:erlend.oftedal@owasp.org" target="_blank">erlend.oftedal@owasp.org</a> wrote:<br>
    </div>
    </div></div><blockquote type="cite"><div><div>
      
      <div>
        <div style="font-family:Calibri,sans-serif;font-size:11pt">Hi<br>
          <br>
          See <a href="https://twitter.com/voodooKobra/status/669537889500311553" target="_blank">https://twitter.com/voodooKobra/status/669537889500311553</a>
          and the link in that message. <br>
          <br>
          According to the OWASP website the project is inactive, yet
          contributions are made on github, and there are no signs of
          the project status on github.<br>
          The crypto code is bad, as voodooKobra rightly points out.
          With a known key and iv, this encryption is useless.<br>
          And the code is referenced from stackoverflow++.<br>
          <br>
          When deactivating a project we need to make sure the
          deactivation is clearly visble on github as well.<br>
          <br>
          Best regards<br>
          Erlend Oftedal<br>
          OWASP Norway<br>
          @webtonull</div>
      </div>
      <br>
      <fieldset></fieldset>
      <br>
      </div></div><pre>_______________________________________________
OWASP-Leaders mailing list
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a>
</pre>
    </blockquote>
    <br>
  </div>

<br>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div>
_______________________________________________<br>OWASP-Leaders mailing list<br><a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br><a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br></div></blockquote></div><br></div></div></div></div></blockquote></div><br></div>
</div></blockquote></div><br></div></div></div></div></blockquote></div><br></div>