I believe a significant reason OWASP isn't a good home for many projects is that we are unable to spend funds on people's time. I understand the reasons but this stymies progress and requires folks like Mozilla to pay for people's time, which is a rare example of generosity and community spirit. That said, OWASP is a great promotion vehicle for projects and generates many volunteer requests (and less action). But these we only two examples (one good, one bad). There are many more.<div><br></div><div>I see no point begging for ZAP to remain with OWASP, but rather careful, and perhaps<span></span> painful, introspection as to why OWASP is failing projects. There have been some epic and heartbreaking failures recently, but there is still much good in it. I think it would be worthwhile having someone impartial who understands corporate governance review where we're at. This could funded by the pool of funds available to OWASP and would be a strong and justifiable investment.<br><br>On Wednesday, 2 December 2015, Josh Sokol <<a href="mailto:josh.sokol@owasp.org">josh.sokol@owasp.org</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><p dir="ltr">Simon,</p>
<p dir="ltr">It might help if you could elaborate on what OWASP can do to help you get to the next level (whatever that is).  OWASP has a lot of people, money, etc that are at our Leaders' disposal.  If this decision would be made on resources, or lack thereof, then I think we can help justify sticking around.  If there's something bigger (like how to make ZAP a freemium model perhaps), then I would like to see us having those conversations as well.  In short, I believe that ZAP (or any project for that matter) is good for OWASP and want to see OWASP reciprocate in ways that are beneficial to ZAP.</p>
<p dir="ltr">~josh</p>
<div class="gmail_quote">On Dec 2, 2015 3:14 AM, "psiinon" <<a href="javascript:_e(%7B%7D,'cvml','psiinon@gmail.com');" target="_blank">psiinon@gmail.com</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div><div><div>In a <a href="http://lists.owasp.org/pipermail/owasp-leaders/2015-December/015726.html" target="_blank">recent thread</a> Dinis stated:<br><br>"all Owasp projects should be seen as research projects. The moment
they are big enough (i.e. big team, support, deliverables) and wish to move
beyond the 'research label' , is the moment where they need to leave the
'Owasp nest' and face the real world by themselves"<br><br></div>I have a lot of sympathy for this perspective, and have indeed been wondering if now is the right time for ZAP to "go it alone".<br><br></div>I'd like to stress that this is not just because of recent controversies, so I'd like to discuss these as general principals rather than in relation to recent events.<br><br></div><div>I believe that OWASP has been very beneficial to ZAP, but I'm not sure that OWASP is really set up to support projects that have grown to ZAP's size.<br></div><br></div>So, the 2 questions I'd be very interested in feedback on:<br></div><ul><li>Should OWASP projects aim to stand on their own outside of OWASP?</li><li>Is this the right time for ZAP to do so?<br></li></ul><div><div><div><div><div>Many thanks,<br><br></div><div>Simon<br></div><div><br>-- <br><div><a href="https://www.owasp.org/index.php/ZAP" target="_blank">OWASP ZAP</a> Project leader<br></div>
</div></div></div></div></div></div>
<br>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="javascript:_e(%7B%7D,'cvml','OWASP-Leaders@lists.owasp.org');" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div>
</blockquote></div><br><br>-- <br><div dir="ltr"><div><div><div>____________________<br></div><b>Andrew Muller</b><br></div>Canberra OWASP Chapter Leader<br></div>OWASP Testing Guide Co-Leader<br></div><br>