<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div>Good thoughts Tim & Andrew.</div><div id="AppleMailSignature">We have discussed funding many many times and we never move beyond that.</div><div id="AppleMailSignature"><br></div><div id="AppleMailSignature">I believe funding or grants is the way to go, not only via some "summer of code" but ongoing. </div><div id="AppleMailSignature"><br></div><div id="AppleMailSignature">I'm unsure what zap might gain by leaving OWASP but it may not have the opportunity via conferences and events that it currently has, if it departs? I don't know.</div><div id="AppleMailSignature"><br></div><div id="AppleMailSignature">The Mozilla model is great, non-profit funding things like zap. Should we not evolve and do something similar?  Does the foundation have the funds?</div><div id="AppleMailSignature"><br></div><div id="AppleMailSignature"><br>Eoin Keary<div>OWASP Volunteer</div><div>@eoinkeary</div><div><span style="font-size: 13pt;"><br></span></div><div><br></div></div><div><br>On 2 Dec 2015, at 4:56 p.m., Tim <<a href="mailto:tim.morgan@owasp.org">tim.morgan@owasp.org</a>> wrote:<br><br></div><blockquote type="cite"><div><span></span><br><span></span><br><blockquote type="cite"><span>I believe a significant reason OWASP isn't a good home for many projects is</span><br></blockquote><blockquote type="cite"><span>that we are unable to spend funds on people's time.</span><br></blockquote><span></span><br><span>I have agreed with this for quite some time.  While I also understand</span><br><span>the reasoning on why it is dangerous to pay "volunteers", we aren't</span><br><span>going to get nearly as much done if people aren't compensated for</span><br><span>their time at some level.</span><br><span></span><br><span>Case in point: I work for myself as a consultant.  I believe in the</span><br><span>OWASP mission and I'm still naive enough to think I can make a</span><br><span>difference.  I could easily carve out weeks of time in my schedule for</span><br><span>OWASP, since I control my own calendar.  This could allow me to get</span><br><span>tons of great work done on projects.  But when it comes to paying</span><br><span>the bills, I have a hard time justifying to myself (and my wife)</span><br><span>spending more than a handful of hours on OWASP each month.</span><br><span></span><br><span>Is there a way we can compensate people involved in projects for very</span><br><span>specific tasks?  Including project leaders?  Suppose project leaders</span><br><span>carefully define what it is they are trying to achieve and there was</span><br><span>an oversight system in place to ensure funds aren't wasted.  Could</span><br><span>something like that work?  How much would we need to invest in</span><br><span>oversight time?  How can we avoid nepotism?  I don't know the answers</span><br><span>here, or how it would work specifically, but I think it would make</span><br><span>sense for *some* tasks on *some* projects.</span><br><span></span><br><span>The alternative is what we are doing right now:  Expect people to</span><br><span>carve out time in their schedules for free.  Unfortunately, security</span><br><span>is in high demand, so our most talented security people often have no</span><br><span>free time.  Some "volunteers" find ways to compensate themselves</span><br><span>through conflicts of interest.  (E.g.: hijacking the OWASP brand to</span><br><span>benefit their own companies.)  That may still happen no matter what we</span><br><span>do, but we can get a lot more done within a structure of oversight if</span><br><span>we modestly compensate trustworthy contributors.</span><br><span></span><br><span>Now I'm just going to sit back and watch the flame war ensue. ;-)</span><br><span>tim</span><br><span>_______________________________________________</span><br><span>OWASP-Leaders mailing list</span><br><span><a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a></span><br><span><a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a></span><br></div></blockquote></body></html>