<div dir="ltr"><div><div>Dear Simon,<br><br></div>The copyright notice must clearly say who is the copyright holder(s) of ZAP, otherwise you could get legal problems in future, as the ZAP developing team is not a legal entity.   If several contributors are the copyright holders, the notice should mention them, and the part of the code they own (specially if their code is licensed under other terms).<br><br></div><div>As OWASP is not the copyright holder of ZAP, it should not be included in the copyright notice, unless you have a reason for it. The hire doctrine does not apply here.<br></div><div><br></div>When the contributions are fused together in the git repository, things can get more complicated. However, just to give you an idea, check this demo-solution for this multi-contributor github scenario: <a href="https://github.com/CopyFairCorp/copyfair/blob/master/Constitution.template.md">https://github.com/CopyFairCorp/copyfair/blob/master/Constitution.template.md</a><br><div><br></div><div>Cheers,<br><br></div><div>Luis<br></div><div><br><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Jun 24, 2016 at 8:26 PM, johanna curiel curiel <span dir="ltr"><<a href="mailto:johanna.curiel@owasp.org" target="_blank">johanna.curiel@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><span class=""><div style="font-size:13px">>>The problem is that joint works are co-owned by all the authors. Meaning that any of them can use or license the entire work however they want without the consent of the other co-owners. Regardless of the project's open-source license, a joint author could license other ways or sell commercially.</div><div><br></div></span><div>Indeed, but if we still do not know 'who' are entitled members of the ZAP team, the legal discussion can get quite complicated...</div><span class=""><div><br></div><div>>><span style="font-size:13px">I suggest that the best approach is for all contributors to assign their copyright for ZAP to the OWASP Foundation, who has committed via charter to keep all materials free and open for everyone. The Apache ICLA doesn't quite get to the real issue.</span></div><div><span style="font-size:13px"><br></span></div></span><div>Well, as project owner I'm not sure I would like to handle the IP and copyrights to the foundation, not every project owner will feel the same. I think the best is to have the project owner(s) be the rightful IP copyrights owners.</div></div><div class="HOEnZb"><div class="h5"><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Jun 24, 2016 at 1:58 PM, Jeff Williams <span dir="ltr"><<a href="mailto:jeff.williams@owasp.org" target="_blank">jeff.williams@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div>The problem definitely isn't the definition of "ZAP Development Team."</div><div><br></div>The current notice creates the presumption that ZAP is a joint work, because it implies that authors have the intent to merge their contributions into a unitary whole.  That sounds right for ZAP, but it's actually probably the opposite of what you want.<div><br></div><div>The problem is that joint works are co-owned by all the authors. Meaning that any of them can use or license the entire work however they want without the consent of the other co-owners. Regardless of the project's open-source license, a joint author could license other ways or sell commercially.</div><div><br></div><div>There's not a great solution to this problem. You could try to call ZAP a compilation or collective work, in which each author retains copyright to their contributions, but the intent to form a unitary whole is, I think, inarguable for ZAP and dispositive in the matter.</div><div><br></div><div>I suggest that the best approach is for all contributors to assign their copyright for ZAP to the OWASP Foundation, who has committed via charter to keep all materials free and open for everyone. The Apache ICLA doesn't quite get to the real issue.</div><div><br></div><div>IANYL,</div><div><br></div><div>--Jeff</div></div><div><div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Jun 24, 2016 at 10:08 AM, johanna curiel curiel <span dir="ltr"><<a href="mailto:johanna.curiel@owasp.org" target="_blank">johanna.curiel@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Andrew<div><br></div><div>Having a contributor agreement is quite different that defining who has the IP rights over ZAP.</div><div><br></div><div>Right now, the IP rights are from a group defined as '<span style="font-family:monospace,monospace;font-size:13px">Copyright 2016 The ZAP Development Team'</span>, the first most important thing to do is define who is that team and who can be considered part of that team</div><div><br></div><div>Creating an agreement between the ZAP developers team and a new/old contributor is between ZAP/Project dev team and that contributor.</div><div><br></div><div>The ICLA you provided is quite different because is between the Apache foundation and contributors to apache projects. As stated right now , the owner of the ZAP code is the 'ZAP development team'</div><div><br></div><div>The faster Simon can define clearly who can be considered the team, the better.</div><div><br></div><div><br></div></div><div class="gmail_extra"><div><div><br><div class="gmail_quote">On Fri, Jun 24, 2016 at 9:47 AM, Andrew van der Stock <span dir="ltr"><<a href="mailto:vanderaj@owasp.org" target="_blank">vanderaj@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">IANAL,<div><br></div><div>The "Team" can be recognised if you have contributor agreements that agree to hand over their (C) claim to the team, so that people don't feel they add one line of code and feel they have the right to re-license the code.</div><div><br></div><div>e.g.</div><div><a href="https://www.apache.org/licenses/icla.txt" target="_blank">https://www.apache.org/licenses/icla.txt</a><br></div><div><br></div><div>If you want us to follow this up with OWASP's legal beagles, please let us know, but it will cost and take a bit.</div><span><font color="#888888"><div><br></div><div>Andrew</div></font></span></div><div class="gmail_extra"><br><div class="gmail_quote"><div><div>On Fri, Jun 24, 2016 at 9:00 PM, psiinon <span dir="ltr"><<a href="mailto:psiinon@gmail.com" target="_blank">psiinon@gmail.com</a>></span> wrote:<br></div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div><div dir="ltr"><div><div><div><div><div><div>Leaders,<br><br></div>We've had some questions about the ZAP copyright statement we use in our code, which is now variations on:<span style="font-family:monospace,monospace"><br>/*<br> * Zed Attack Proxy (ZAP) and its related class files.<br> * <br> * ZAP is an HTTP/HTTPS proxy for assessing web application security.<br> * <br> * Copyright 2016 The ZAP Development Team<br> *  <br> * Licensed under the Apache License, Version 2.0 (the "License"); <br> * you may not use this file except in compliance with the License. <br> * You may obtain a copy of the License at <br> * <br> *   <a href="http://www.apache.org/licenses/LICENSE-2.0" target="_blank">http://www.apache.org/licenses/LICENSE-2.0</a> <br> *   <br> * Unless required by applicable law or agreed to in writing, software <br> * distributed under the License is distributed on an "AS IS" BASIS, <br> * WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. <br> * See the License for the specific language governing permissions and <br> * limitations under the License. <br> */<br></span><br></div>Is "The ZAP Development Team" a reasonable term to use, or is problematic as this is not a legal entity?<br></div>We typically just give the year the relevant file was created, but should we use the range of years ZAP has been around (ie "2010-2016") and update every file every year?<br></div>Any other thoughts or recommendations?<br><br></div>Cheers.<br><br></div>Simon<span><font color="#888888"><br><div><div><div><div><div><br><br clear="all"><div><div><br>-- <br><div data-smartmail="gmail_signature"><a href="https://www.owasp.org/index.php/ZAP" target="_blank">OWASP ZAP</a> Project leader<br></div>
</div></div></div></div></div></div></div></font></span></div>
<br></div></div><span>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></span></blockquote></div><br></div>
<br>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br><br clear="all"><div><br></div></div></div><span>-- <br><div data-smartmail="gmail_signature"><div dir="ltr"><div>Johanna Curiel </div>OWASP Volunteer</div></div>
</span></div>
<br>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br><div data-smartmail="gmail_signature"><div dir="ltr"><div>Johanna Curiel </div>OWASP Volunteer</div></div>
</div>
</div></div><br>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br><br clear="all"><br>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div>Luis Enriquez<br></div>(IT/IP lawyer)<br></div></div>
</div>