<div dir="ltr">Hi Jim, Josh & project leaders of Defender projects<div><br></div><div>While there has been discussions regarding a budget for a Bug Bounty </div><div><a href="http://lists.owasp.org/pipermail/owasp-board/2016-April/017100.html">http://lists.owasp.org/pipermail/owasp-board/2016-April/017100.html</a></div><div><br></div><div>I want to make clear that , during the meetings we had with Bugcrowd, we spoke about starting the program for Security Libraries or Defender projects (like SeraphimDroid) with the Kudos program</div><div><br></div><div>They also advised us to start this way so the low hanging fruits are found first</div><div><br></div><div>In a later phase we could determine finding sponsors for paying bug bounties after this phase, but this has not been defined yet.</div><div><br></div><div>Also to clarify, I'm not part of any bug bounty related to OWASP assets, especially because I agree 100% with Matt Tesauro, who has clarified all the issues regarding this.</div><div><a href="http://lists.owasp.org/pipermail/owasp-board/2016-April/017091.html">http://lists.owasp.org/pipermail/owasp-board/2016-April/017091.html</a><br></div><div><br></div><div>Common sense and best practices dictates that there should be a mirror QA environment instead of allowing hackers go against OWASP production environment. </div><div><br></div><div><br></div><div>Regards</div><div><br></div><div><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr"><div>Johanna Curiel </div>OWASP Volunteer</div></div>
</div></div>