<div dir="ltr"><div>Matt,</div><div><br></div><div>I have been thinking of your remarks this morning. </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid"><div dir="ltr"><div>You don't want quotes based on our budget. You want good quotes based on what the vendor thinks his time and effort will cost OWASP.</div></div></blockquote><div><br></div><div>I completely agree with you but I don't want to engage a vendor when I'm not sure if I even have a reasonably firm and appropriate budget allocated.  I'm not going to prepare RFPs for things that may not happen when there's plenty to do already.</div><div><br></div><div><font color="#000000" face="Times New Roman" size="3">

</font></div><p style="margin:0in 0in 0pt"><font color="#000000" face="Calibri" size="3">Sorry, But I wanted to think before I answered back to you.
If I understand this we have the classic cart before the horse problem. You don’t
want to proceed before you have a commitment of the money from the board. I
suspect the board doesn’t want to give an amount without a reasonable best
guess on what it will cost.</font></p><div><font color="#000000" face="Times New Roman" size="3">

</font></div><p style="margin:0in 0in 0pt"><font color="#000000" face="Calibri" size="3"> </font></p><div><font color="#000000" face="Times New Roman" size="3">

</font></div><p style="margin:0in 0in 0pt"><font color="#000000" face="Calibri" size="3">Here is my thoughts to you.</font></p><div><font color="#000000" face="Times New Roman" size="3">

</font></div><ol style="list-style-type:decimal;direction:ltr"><li style="font-style:normal;font-weight:normal"><p style="font-style:normal;font-weight:normal;margin-top:0in;margin-bottom:0pt">Go ahead and create the RFP’s. Don’t worry about
doing an RFP that isn’t acted on. Happens all the time. My firm bids on work. We
expect to get some of the work but not all. Some projects never get off ground,
get cancelled because the bids were too high, etc. Don’t worry about it. It's 
part of the cost of doing business. Business should understand that that. If
they don’t then they were the wrong vendor in the first place.</p></li><li style="color:rgb(0,0,0);font-family:"calibri",sans-serif;font-size:11pt;font-style:normal;font-weight:normal"><p style="color:rgb(0,0,0);font-family:"calibri",sans-serif;font-size:11pt;font-style:normal;font-weight:normal;margin-top:0in;margin-bottom:0pt">This give you the advantage of now putting the
board back as the decision maker, since you can go the the board with actual
figures.</p></li><li style="color:rgb(0,0,0);font-family:"calibri",sans-serif;font-size:11pt;font-style:normal;font-weight:normal"><p style="color:rgb(0,0,0);font-family:"calibri",sans-serif;font-size:11pt;font-style:normal;font-weight:normal;margin-top:0in;margin-bottom:0pt">Third this gives the board something to work
with. They may ask you to go back to a shorter list of vendors and reduce or
increase the project scope depending on what the timeline is and finical amount or they may say no to the whole thing then it’s on them to explain it to the community.
</p></li></ol><div style="color:rgb(0,0,0);font-family:"calibri",sans-serif;font-size:11pt;font-style:normal;font-weight:normal;margin-top:0in;margin-bottom:0pt">Larry</div><div><font color="#000000" face="Times New Roman" size="3">





</font></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Mar 1, 2017 at 11:50 PM, Matt Tesauro <span dir="ltr"><<a href="mailto:matt.tesauro@owasp.org" target="_blank">matt.tesauro@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Larry, <div><br></div><div>Answering inline:</div><div class="gmail_extra">
<br><div class="gmail_quote"><span>On Wed, Mar 1, 2017 at 11:19 AM, Larry Conklin <span dir="ltr"><<a href="mailto:larry.conklin@owasp.org" target="_blank">larry.conklin@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid"><div dir="ltr"><div>I thought we already had this. It was with third party report that we went over in the last APPSecUSA. I have asked for more clarification from Tom B on why we are hitting roadblocks in Operations.</div><div><br></div><div>Matt, What are you road blocks?</div></div></blockquote><div><br></div></span><div>Already answered in my reply to Tom B but to be thorough:</div><span><div><div class="gmail_extra" style="font-size:12.8px"><div class="gmail_quote"><div>The project is progressing and was only blocked because the board has not, yet, approved a budget for 2017.  </div><div><br></div><div>Please see the <a href="https://owasp.blogspot.com/2016/12/owasp-operations-update-for-december.html" target="_blank">Ops Blog for December</a>:</div></div></div><blockquote style="margin:0px 0px 0px 40px;padding:0px;border:currentColor;font-size:12.8px"><div class="gmail_extra"><div class="gmail_quote">"Waiting for 2017 Budget to get approved by the Board"</div></div></blockquote><div class="gmail_extra" style="font-size:12.8px"><div class="gmail_quote">And the updates in the <a href="https://owasp.blogspot.com/2017/01/owasp-operations-update-for-january-2017.html" target="_blank">Ops Blog post for January</a>:</div></div><blockquote style="margin:0px 0px 0px 40px;padding:0px;border:currentColor;font-size:12.8px"><div class="gmail_extra"><div class="gmail_quote"><u>Blocked</u>: waiting for the 2017 Budget to get approved by the OWASP Board<br></div></div></blockquote><div class="gmail_extra" style="font-size:12.8px"><div class="gmail_quote">And the updates in the <a href="https://owasp.blogspot.com/2017/02/owasp-operations-update-for-february.html" target="_blank">Ops Blog post for February</a>:</div></div><blockquote style="margin:0px 0px 0px 40px;padding:0px;border:currentColor;font-size:12.8px"><div class="gmail_extra"><div class="gmail_quote"><u>Blocked</u>: waiting for the 2017 Budget to get approved by the OWASP Board<br></div></div></blockquote><div class="gmail_extra" style="font-size:12.8px"><div class="gmail_quote"><div><br></div><div>Even with the lack of budget clarity and the unexpected ending of Rackspace's hosting donation (also in the Feb Ops Blog), there has been progress made on the Website Reboot.  I'll be posting this Friday a March Ops Blog in preparation for next weeks Board meeting where further updates will be documented.</div></div></div></div><div> </div></span><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid"><div dir="ltr"><div><br></div><span><div>Is it money? and or Time. I believe to get responses to RFP's you don't need to have an exact budget amount. </div></span></div></blockquote><div><br></div><div>It is not about getting an exact budget amount its about getting an budget amount i can be confident in.  During the board meeting at AppSec USA, two board members disagreed about the budget amount for this project and differed by a factor of 10x - one told me $150k and another said $15k.  I have been waiting for a firm agreement on what is budgeted for this effort since then.</div><span><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid"><div dir="ltr"><div>You don't want quotes based on our budget. You want good quotes based on what the vendor thinks his time and effort will cost OWASP.</div></div></blockquote><div><br></div></span><div>I completely agree with you but I don't want to engage a vendor when I'm not sure if I even have a reasonably firm and appropriate budget allocated.  I'm not going to prepare RFPs for things that may not happen when there's plenty to do already.</div><div><br></div><div>After the February board meeting, I met with Tom Pappas and discussed the budget he and Andrew van der Stock have worked on for 2017.  After that meeting where my budget requests for the Website Reboot (and others) were compared with the working 2017 budget, I have confidence that, baring a radical change in the proposed 2017 budget, I can safely begin on the next phases outlined for the project in the Ops Blog.</div><div><br></div><div>Cheers!</div><span class="HOEnZb"><font color="#888888"><div><br></div><div>Matt Tesauro</div></font></span><span><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid"><div dir="ltr"><span class="m_2720153458565975942gmail-HOEnZb"><font color="#888888"><div><br></div><div>Larry</div></font></span></div><div class="m_2720153458565975942gmail-HOEnZb"><div class="m_2720153458565975942gmail-h5"><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Mar 1, 2017 at 11:47 AM, Bev Corwin <span dir="ltr"><<a href="mailto:bev.corwin@owasp.org" target="_blank">bev.corwin@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid"><div dir="ltr">Hi Tom and Dinis, Yes, I agree that the community should help and support this effort to avoid bottlenecks and brick walls. Could an Advisory Committee be created for this purpose? Best wishes, Bev</div><div class="gmail_extra"><br><div class="gmail_quote"><span>On Wed, Mar 1, 2017 at 9:05 AM, Tom Brennan - OWASP <span dir="ltr"><<a href="mailto:tomb@owasp.org" target="_blank">tomb@owasp.org</a>></span> wrote:<br></span><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid"><div><div class="m_2720153458565975942gmail-m_-6373427177858007752h5"><div dir="ltr">Dinis,<div><br></div><div>Not sure of how things are getting added to the agenda or focus areas for the Summit.  But for operational items core to the OWASP mission like the OWASP Website Project, I wonder if it is appropriate to carve out time for that discussion. </div><div><br></div><div>The project has hit a wall after being handed off to operations and it may need some community push to underscore it as a priority.</div><div><br></div><div>See history: <a href="https://www.owasp.org/index.php/OWASP_Initiatives_Global_Strategic_Focus/website_project" target="_blank">https://www.owasp.org<wbr>/index.php/OWASP_Initiatives_G<wbr>lobal_Strategic_Focus/website_<wbr>project</a> </div></div>
<br></div></div><span>______________________________<wbr>_________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank" rel="noreferrer">https://lists.owasp.org/mailma<wbr>n/listinfo/owasp-leaders</a><br>
<br></span></blockquote></div><br></div>
<br>______________________________<wbr>_________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank" rel="noreferrer">https://lists.owasp.org/mailma<wbr>n/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div>
</div></div><br>______________________________<wbr>_________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank" rel="noreferrer">https://lists.owasp.org/mailma<wbr>n/listinfo/owasp-leaders</a><br>
<br></blockquote></span></div><br></div></div>
</blockquote></div><br></div>