Post mortem of fixes would be nice to have and a wall of thank you should be established yes?<div><br></div><div>*draft*<span></span></div><div><a href="https://www.owasp.org/index.php/About_OWASP/Bug_Bounty">https://www.owasp.org/index.php/About_OWASP/Bug_Bounty</a><br>
<br>
Tom Brennan<br>
Global Board of Directors<br>
(d) 973-506-9304<br>
<br>
OWASP Foundation | <a href="http://www.owasp.org" target="_blank">www.owasp.org</a><br>
<br>
<br>
On Thu, Feb 11, 2016 at 1:48 AM, Jim Manico <<a href="javascript:;" onclick="_e(event, 'cvml', 'jim.manico@owasp.org')">jim.manico@owasp.org</a>> wrote:<br>
> Right, but two OWASP researchers posted live bugs over Twitter today. We<br>
> have to deal with it Kevin. I'd rather we know than not know, sooner than<br>
> later. One of the bugs noted I fixed earlier today.<br>
><br>
> Knowing is half the battle.<br>
><br>
> Aloha,<br>
> Jim<br>
><br>
><br>
> On 2/10/16 10:14 PM, Kevin W. Wall wrote:<br>
><br>
> And to add to Timo's thoughts...if we have an RFP to redo the OWASP site, if<br>
> we do put out a bug bounty, perhaps we should wait until that effort is<br>
> finished, otherwise we may end up fixing things twice.<br>
><br>
> -kevin<br>
><br>
> On Thu, Feb 11, 2016 at 1:04 AM, Timo Goosen <<a href="javascript:;" onclick="_e(event, 'cvml', 'timo.goosen@owasp.org')">timo.goosen@owasp.org</a>> wrote:<br>
>><br>
>> "But in the meantime, here are a few resources to report your findings to<br>
>> if you run into security issues (and I use "run into" with intention because<br>
>> you would never just start actively testing a website for security without<br>
>> permission in some way, right? Because doing so is a major criminal act in<br>
>> most countries, right?)"<br>
>> Depends. I've found bugs on sites before, unintentionally just by clicking<br>
>> around.<br>
>><br>
>> On the idea of a bug bounty project for OWASP. The idea is good, but I<br>
>> don't think that OWASP has the resources to deal with a bug bounty program<br>
>> and the flood of reports that will becoming in. Researchers get very annoyed<br>
>> if you don't respond promptly and take them seriously. Just something to<br>
>> consider.<br>
>><br>
>> Regards.<br>
>> Timo<br>
>><br>
>> On Thu, Feb 11, 2016 at 6:15 AM, Jim Manico <<a href="javascript:;" onclick="_e(event, 'cvml', 'jim.manico@owasp.org')">jim.manico@owasp.org</a>> wrote:<br>
>>><br>
>>> Folks,<br>
>>><br>
>>> A few OWASP researchers have found bugs on OWASP's wiki and decided to<br>
>>> disclose them in public over twitter before reporting to OWASP.<br>
>>><br>
>>> Can you please disclose to me or Matt Tesauro or use the contact form or<br>
>>> do anything other than disclose in public before discussing this with OWASP<br>
>>> IT staff and support?<br>
>>><br>
>>> Also, Josh Sokol is in the middle of ramping up a more formal bug bounty<br>
>>> program and will provide a more formal method for disclosure in the near<br>
>>> future.<br>
>>><br>
>>> But in the meantime, here are a few resources to report your findings to<br>
>>> if you run into security issues (and I use "run into" with intention because<br>
>>> you would never just start actively testing a website for security without<br>
>>> permission in some way, right? Because doing so is a major criminal act in<br>
>>> most countries, right?)<br>
>>><br>
>>> Thanks all.<br>
>>><br>
>>> Matt Tesauro: <a href="javascript:;" onclick="_e(event, 'cvml', 'matt.tesauro@owasp.org')">matt.tesauro@owasp.org</a><br>
>>> Jim Manico:  <a href="javascript:;" onclick="_e(event, 'cvml', 'jim@owasp.org')">jim@owasp.org</a><br>
>>> Contact Form: <a href="https://www.tfaforms.com/308703" target="_blank">https://www.tfaforms.com/308703</a><br>
>>><br>
>>> Aloha,<br>
>>> Jim Manico<br>
>>> OWASP Global Board Member<br>
>>><br>
>>> _______________________________________________<br>
>>> OWASP-Leaders mailing list<br>
>>> <a href="javascript:;" onclick="_e(event, 'cvml', 'OWASP-Leaders@lists.owasp.org')">OWASP-Leaders@lists.owasp.org</a><br>
>>> <a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
>>><br>
>><br>
>><br>
>> _______________________________________________<br>
>> Owasp-community mailing list<br>
>> <a href="javascript:;" onclick="_e(event, 'cvml', 'Owasp-community@lists.owasp.org')">Owasp-community@lists.owasp.org</a><br>
>> <a href="https://lists.owasp.org/mailman/listinfo/owasp-community" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-community</a><br>
>><br>
><br>
><br>
><br>
> --<br>
> Blog: <a href="http://off-the-wall-security.blogspot.com/" target="_blank">http://off-the-wall-security.blogspot.com/</a>    | Twitter: @KevinWWall<br>
> NSA: All your crypto bit are belong to us.<br>
><br>
><br>
><br>
> _______________________________________________<br>
> Owasp-community mailing list<br>
> <a href="javascript:;" onclick="_e(event, 'cvml', 'Owasp-community@lists.owasp.org')">Owasp-community@lists.owasp.org</a><br>
> <a href="https://lists.owasp.org/mailman/listinfo/owasp-community" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-community</a><br>
><br>
<br>
</div><br><br>-- <br><br>Tom Brennan<br>Global Board of Directors <br>NYC/NJ Metro Chapter Leader<br>(d) 973-506-9304<br><br>OWASP Foundation | <a href="http://www.owasp.org" target="_blank">www.owasp.org</a><br>

<br>
<font size="2" style="background-color:white" color="#808080"><span style="font-family:'times new roman'">The information contained in this message and any attachments may be privileged, confidential, proprietary or otherwise protected from disclosure. If you, the reader of this message, are not the intended recipient, you are hereby notified that any dissemination, distribution, copying or use of this message and any attachment is strictly prohibited. If you have received this message in error, please notify the sender immediately by replying to the message, permanently delete it from your computer and destroy any printout.</span></font>