<div dir="ltr"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span style="font-size:12.8px">Now I'm just going to sit back and watch the flame war ensue. ;-)</span></blockquote><div><br></div>Flame war? Surely not? Paying people to work on OSS works for other organisations (Joyent, HortonWorks, Mozilla, etc.). Why not OWASP? Does our charitable status somehow prevent it?</div><div class="gmail_extra"><br><div class="gmail_quote">On 2 December 2015 at 16:56, Tim <span dir="ltr"><<a href="mailto:tim.morgan@owasp.org" target="_blank">tim.morgan@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class=""><br>
<br>
> I believe a significant reason OWASP isn't a good home for many projects is<br>
> that we are unable to spend funds on people's time.<br>
<br>
</span>I have agreed with this for quite some time.  While I also understand<br>
the reasoning on why it is dangerous to pay "volunteers", we aren't<br>
going to get nearly as much done if people aren't compensated for<br>
their time at some level.<br>
<br>
Case in point: I work for myself as a consultant.  I believe in the<br>
OWASP mission and I'm still naive enough to think I can make a<br>
difference.  I could easily carve out weeks of time in my schedule for<br>
OWASP, since I control my own calendar.  This could allow me to get<br>
tons of great work done on projects.  But when it comes to paying<br>
the bills, I have a hard time justifying to myself (and my wife)<br>
spending more than a handful of hours on OWASP each month.<br>
<br>
Is there a way we can compensate people involved in projects for very<br>
specific tasks?  Including project leaders?  Suppose project leaders<br>
carefully define what it is they are trying to achieve and there was<br>
an oversight system in place to ensure funds aren't wasted.  Could<br>
something like that work?  How much would we need to invest in<br>
oversight time?  How can we avoid nepotism?  I don't know the answers<br>
here, or how it would work specifically, but I think it would make<br>
sense for *some* tasks on *some* projects.<br>
<br>
The alternative is what we are doing right now:  Expect people to<br>
carve out time in their schedules for free.  Unfortunately, security<br>
is in high demand, so our most talented security people often have no<br>
free time.  Some "volunteers" find ways to compensate themselves<br>
through conflicts of interest.  (E.g.: hijacking the OWASP brand to<br>
benefit their own companies.)  That may still happen no matter what we<br>
do, but we can get a lot more done within a structure of oversight if<br>
we modestly compensate trustworthy contributors.<br>
<br>
Now I'm just going to sit back and watch the flame war ensue. ;-)<br>
<span class="HOEnZb"><font color="#888888">tim<br>
</font></span><div class="HOEnZb"><div class="h5">_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr"><div><b>Mike Goodwin</b></div><a href="https://www.owasp.org/index.php/Newcastle" target="_blank"><font size="1">OWASP Newcastle UK Chapter Leader</font></a><div><a href="https://github.com/mike-goodwin/owasp-threat-dragon" target="_blank"><font size="1">OWASP Threat Dragon Project Leader</font></a></div></div></div>
</div>