<div dir="ltr">Johanna, <br><br>I read this as saying that we have not decided on our next launch: <div>"<span style="font-size:12.8px">At the moment we have a bounty for projects, starting with ZAP and next week we will make a bigger launch for projects like:</span></div><div style="font-size:12.8px">OWASP CRSFGuard</div><div style="font-size:12.8px">Java Sanitizer </div><div style="font-size:12.8px">Anti Samy</div><div style="font-size:12.8px">App sensor</div><div style="font-size:12.8px">ESAPI java</div><div style="font-size:12.8px">ModSecurity CRS rule"</div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">If we are going with all of these for sure next week we should remove "projects like."  If we have yet to choose we should clarify that either by ending the sentence after "bigger launch" or expand it to say that these projects are in the running for the next expansion. That should help with clarity and save time addressing questions. </div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">-Tiffany  </div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Jun 21, 2016 at 4:06 AM, johanna curiel curiel <span dir="ltr"><<a href="mailto:johanna.curiel@owasp.org" target="_blank">johanna.curiel@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">I would re-write a little the text in here. To clarify this. <div><br></div><div>At the moment we have a bounty for projects, starting with ZAP and next week we will make a bigger launch for projects like:</div><div>OWASP CRSFGuard</div><div>Java Sanitizer </div><div>Anti Samy</div><div>App sensor</div><div>ESAPI java</div><div>ModSecurity CRS rule</div><div><br></div><div><br></div><div>For this Bounty there is a page and a website hosting the apps protected by some of these libraries</div><div><a href="https://www.owasp.org/index.php/Bug_Bounty_Projects" target="_blank">https://www.owasp.org/index.php/Bug_Bounty_Projects</a><br></div><div><br></div><div><div>which is hosted here:</div><div><a href="http://bounty-crsfguard.info" target="_blank">http://bounty-crsfguard.info</a><br></div><div><a href="http://bounty-crsfguard.info:8080" target="_blank">http://bounty-crsfguard.info:8080</a></div></div><div><br></div><div>I have requested Claudia to create a repo under OWASP Github to host the apps such as this:</div><div><a href="https://github.com/owaspjocur/Apache-Shiro-CSRFGuard" target="_blank">https://github.com/owaspjocur/Apache-Shiro-CSRFGuard</a><br></div><div><br></div><div>In order to make things much easier for us, we will provide the example web apps with the protected libraries (Like Apache-Shiro example app protected with CRSFGuard) for the researchers to test with a clear setup , example OWASP Webgoat protected by Appsensor. We have our environment for own validation.<br></div><div><br></div><div><br></div><div>We have to take that page out because there are Bug Bunters that have submitted issues under ZAP that are for the Wiki and not ZAP. </div><div><br></div><div>We have to make clear OWASP is not running at this moment any bug bounty on the infrastructure. </div></div><div class="HOEnZb"><div class="h5"><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Jun 21, 2016 at 2:35 AM, Andrew van der Stock <span dir="ltr"><<a href="mailto:vanderaj@owasp.org" target="_blank">vanderaj@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Even as draft, can you please make it clear it only applies to OWASP Zap at this stage, and not our infrastructure, which remains off limits.<div><br></div><div>Folks only get rewarded for Zap bugs as per the Bug Bounty rules for bugs they find on their own systems. Not GitHub's, not ours. </div><div><br></div><div><a href="https://bugcrowd.com/owaspzap" target="_blank">https://bugcrowd.com/owaspzap</a><br><div><br></div><div>So get kudos for finding Zap bugs. Go nuts!</div><div><br></div><div>thanks,</div><div>Andrew</div></div></div><div class="gmail_extra"><br><div class="gmail_quote"><div><div>On Tue, Jun 21, 2016 at 12:51 PM, johanna curiel curiel <span dir="ltr"><<a href="mailto:johanna.curiel@owasp.org" target="_blank">johanna.curiel@owasp.org</a>></span> wrote:<br></div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div><div dir="ltr">Wiki editors<div><br></div><div>I have set this page as draft cuz is confusing peeps about OWASP running a bug bounty</div><div><br></div><div>cheers</div><span><font color="#888888"><div><div><br></div>-- <br><div data-smartmail="gmail_signature"><div dir="ltr"><div>Johanna Curiel </div>OWASP Volunteer</div></div>
</div></font></span></div>
<br></div></div>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div>
</blockquote></div><br><br clear="all"><div><br></div>-- <br><div data-smartmail="gmail_signature"><div dir="ltr"><div>Johanna Curiel </div>OWASP Volunteer</div></div>
</div>
</div></div><br>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div>