<div dir="ltr">As a Project Leader of a Documentation project, I had no choice but to rate the bits of the Guide that deal with the various metrics highly as that's the DevGuide's entire raison d'etre, but yet, the Guide needs an in-depth project review desperately. We should be a "Red" flagged flagship product. <div>
<br></div><div>We need contributors, I need help to build a self-sustaining community and ecosystem around the Guide, and honestly, it would be great if I could find dedicated project managers who would stick around and poke me and the mail list with a stick more than just once or twice before disappearing. PM'ing a large project is a thankless and tireless task, but it's one that I really need help with. It's not that I'm no good at PM, it's that there are not many folks who can keep the Guide in their head and see where it needs to go. I'm not precious about the Guide - anyone can contribute on GitHub, but it should have a conceptual integrity and flow.  </div>
<div><br></div><div>I would humbly suggest a different Project readiness / status metric is used for documentation projects. If you ask a fish to climb a tree, it'll never succeed. Let's not ask documentation projects to adhere to SAMM metrics. We are not code, and we're not produced like code. </div>
<div><br></div><div>thanks</div><div>Andrew</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Sun, Mar 30, 2014 at 2:28 PM,  <span dir="ltr"><<a href="mailto:tonyuv@owasp.org" target="_blank">tonyuv@owasp.org</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">




<div dir="ltr">
<div dir="ltr" style="font-family:'Calibri','Segoe UI','Meiryo','Microsoft YaHei UI','Microsoft JhengHei UI','Malgun Gothic','sans-serif';font-size:12pt"><div>I would like to preface by saying that I too apologize for being a leader that catches up too infrequently to these threads, thereby introducing feedback that is probably too little and too late, but in seeing this I simply had to state that OpenSAMM is a framework to be applied to a security program.  Using it to measure aspects of project quality is immense overkill.  Users familiar with OpenSAMM would be forced to perverse aspects of the framework in order to make it topical to measuring project effectiveness. </div>
<div><br></div><div>Now, if already decided upon, I can respect the decision that was taken and perhaps we can evolve (or rather simplify) the criteria from there, especially since I didn’t provide my feedback in the past whenever it was appropriate.  Nonetheless,  I do think OpenSAMM is non-congruent to a simple and quick form of measurement for project effectiveness.  I’m no certified PMP, but I would probably lend from evaluation techniques depicted in Prince2 or PMBok.<br>
</div><div><div><br></div><div>Tony UV</div><div><br></div><div>Sent from Windows Mail</div><div><br></div></div><div style="padding-top:5px;border-top-color:rgb(229,229,229);border-top-width:1px;border-top-style:solid"><div>
<font face=" 'Calibri', 'Segoe UI', 'Meiryo', 'Microsoft YaHei UI', 'Microsoft JhengHei UI', 'Malgun Gothic', 'sans-serif'" style="line-height:15pt;letter-spacing:0.02em;font-family:"Calibri","Segoe UI","Meiryo","Microsoft YaHei UI","Microsoft JhengHei UI","Malgun Gothic","sans-serif";font-size:12pt"><b>From:</b> <a href="mailto:dinis.cruz@owasp.org" target="_blank">Dinis Cruz</a><br>
<b>Sent:</b> Saturday, March 29, 2014 8:15 AM<br><b>To:</b> <a href="mailto:psiinon@gmail.com" target="_blank">psiinon</a><br><b>Cc:</b> <a href="mailto:owasp-leaders@lists.owasp.org" target="_blank">OWASP Leaders</a>, <a href="mailto:owasp_project_leader_list@lists.owasp.org" target="_blank">owasp_project_leader_list@lists.owasp.org</a></font></div>
</div><div><div class="h5"><div><br></div><div dir=""><p dir="ltr">Jim , I think you are reading too much into the word 'value' specially since it is not at all implying that that form is measuring quality</p>
<p dir="ltr">But its good feedback and its probably better to rename the form ;)</p>
<p dir="ltr">I also don't see a prob with using OpenSAMM in that form. Its 'a' metric and at this stage what the we really need is good information about the status, usability and 'value to the user' of all/most of our projects (measuring Quality comes much later)</p>


<p dir="ltr">Samantha, please take all these (and other) comments with a pinch-of-salt (or glass of wine). After all, the good news is that finally there is some energy around OWASP projects (and the hard battles/discussions have not even started :) )</p>


<p dir="ltr">Like we like to say in England: 'Keep Calm and Carry On'</p>
<p dir="ltr">BTW, for the record, I think Samantha is doing a fantastic job, and my only regret is that I don't have more time to help her.</p>
<p dir="ltr">Dinis</p>
<div class="gmail_quote">On 29 Mar 2014 11:44, "psiinon" <<a href="mailto:psiinon@gmail.com" target="_blank">psiinon@gmail.com</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid">

<div dir="ltr"><div><div><div><div><div>Seconded.<br><br></div>OpenSAMM is a great way to categorize projects, its not suitable for evaluating project quality.<br></div>I've had similar feedback from people I've asked to evaluate ZAP using it.<br>


</div>Were there specific reasons why we stopped using the old form?<br></div>From memory it seamed fairly suitable.<br></div>I'm happy to give feedback on it or any other criteria that is proposed for this purpose - I've got a fair amount of experience evaluating tools and libraries :)<br>


<br>Cheers,<br><br>Simon<br></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Sat, Mar 29, 2014 at 10:45 AM, Jim Manico <span dir="ltr"><<a href="mailto:jim.manico@owasp.org" target="_blank">jim.manico@owasp.org</a>></span> wrote:<br>


<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid">
  
    
  
  <div>
    Samantha,<br>
    <br>
    I am not on the board of technical directors because it is a deep
    conflict of interest since I manage so many OWASP technical
    projects. I invest tons of energy and time as an OWASP volunteer in
    many other ways. I have provided <i>criteria</i> for technical
    project evaluations on several occasions throughout the years as
    well. Technical evaluation is just one criteria of quality, and yes
    I've reviewed all the links you shared and think you are mostly on
    the right track with your evaluation teams.<br>
    <br>
    Samantha, evaluating the quality of a OWASP project using OpenSAMM,
    a Software Development Lifecycle Evaluation criteria, seems so far
    from the mission of evaluating projects for quality, I felt I needed
    to step up and speak out so we stop this practice immediately and
    move to a quality based evaluation.<br>
    <br>
    The *measurement* of projects for quality is, per my understanding,
    the main reason we hired you. You have done a great job of building
    teams to work on this, but I implore you to condense the evaluation
    form into one form for each type of project, and minimize the
    OpenSAMM questions. I am loud about this because I see the
    evaluations underway already and we need to streamline this process
    into something that is scalable and effective.<br>
    <br>
    I realize you are managing 177 projects *and more*. We may want to
    change your focus from traveling to conferences (since we hired
    Laura Grau to manage conferences) so you can focus more on your
    project management duties. This is of course Sarah's call. <br>
    <br>
    I have no problem with your critique of my personality, that's fine.
    But that does not change the fact that we desperately need proper
    quality evaluation of projects and I implore you to heed my advice.
    I see in your report that you are about to undertake a review of all
    flagships, that is another reason why I am loudly suggesting you
    change course and stop using the OpenSAMM criteria.<span><font color="#888888"><br>
    <br>
    - Jim</font></span><div><div><br>
    <br>
    <br>
    <br>
    <br>
    <br>
    <blockquote style="margin-top:0px;margin-bottom:0px">
      <div dir="ltr">Jim,
        <div><br>
        </div>
        <div>I am sorry to disappoint you, but no you were not the only
          leader to throw a tantrum on the staff this week. You
          certainly were one of them, but not the only one. I deal with
          over 100 leaders in any given day so to assume that my reports
          are only about your actions is very inaccurate. </div>
        <div><br>
        </div>
        <div>Now, I appreciate your concerns, and if you would take the
          time to read about the very hard work our community members
          have accomplished (mainly our <a href="http://owasp.blogspot.com/2013/09/meet-our-new-technical-project-advisors.html" target="_blank">technical
            project advisors</a> who are very "Technical") that were
          brought together after you refused to help me put this
          assessment criteria together after yet another tantrum of
          yours, you would know the hard work that went into creating
          this system/criteria. I recommend familiarizing yourself with
          the process before making very inaccurate assumptions about
          what is actually happening. </div>
        <div><br>
        </div>
        <div>What the advisors did at the <a href="https://www.owasp.org/images/c/c3/OWASP_2013_PROJECT_SUMMIT_REPORT.pdf" target="_blank">summit</a>:
          pg. 25</div>
        <div><br>
        </div>
        <div>Definition of assessments/reviews: <a href="https://www.owasp.org/images/d/d8/PROJECT_LEADER-HANDBOOK_2014.pdf" target="_blank">Chapter
            7</a></div>
        <div><br>
        </div>
        <div>Jim, I love and respect you as a person, but this behavior
          is very detrimental to our community and serves no purpose
          other than to alienate very hard working volunteers that are
          taking on a task that has not been able to be managed in a
          very long time (even before my time here) due to the large
          amount of projects we have in our inventory and the lack of
          resources we have as an organization. You, as one of our Board
          of Directors, should know this better than anyone in our
          community. If you have a better way of managing this, then by
          all means recommend it. Just remember, I am not managing 5
          projects, I am managing 177 and our system must accommodate
          them all. </div>
        <div><br>
        </div>
        <div>I implore you to take a step back, and think about what
          your actions are actually accomplishing.</div>
        <div><br>
        </div>
        <div>With respect,</div>
        <div><br>
        </div>
        <div>Samantha</div>
        <div><br>
        </div>
        <div><br>
        </div>
        <div><br>
        </div>
      </div>
      <div class="gmail_extra"><br>
        <br>
        <div class="gmail_quote">On Fri, Mar 28, 2014 at 11:43 PM, Jim
          Manico <span dir="ltr"><<a href="mailto:jim.manico@owasp.org" target="_blank">jim.manico@owasp.org</a>></span>
          wrote:<br>
          <blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid">
            <div> Samantha,<br>
              <br>
              In this report you say:<br>
              <br>
              "My suggestion to those that are so very quick to
              criticizes the hard work of others is to please
              familiarize yourself with the actual efforts that have
              gone into these endeavors. If you see an issue with
              something that we have done, please let us know, and I
              welcome you to pitch in and help out. Many of our
              processes and procedures are dependent on volunteer
              contributions, and if we have no support in these areas,
              then there isn't much we can do on the operations side as
              the resources we require are simply not available."<br>
              <br>
              That was most certainly me. I have been concerned that the
              various code projects at the flagship level are not
              deserving of that status. I have also requested that
              several projects I assist or manage be evaluated and it's
              been 6+ months with no activity on that front - or better
              put, as a project manager of 3 OWASP projects that I've
              requested evaluation for, no one has contacted me as a
              project manager about the status of those reviews, so I
              imagine other project managers in this situation have
              gotten the same.<br>
              <br>
              What made me flip from "patience on this" to "alerting the
              board and Sarah that I am very concerned about what is
              going on" is that finally when you asked me to distribute
              a form to help folks evaluate Dependency Check, it was
              nonsensical. It was a list of OpenSAMM categorizes that
              should be used to evaluate a companies SDLC; categories
              that really have nothing to do with OWASP project quality
              evaluation. It makes me ask, what is going on? And I'm
              very upset that this form is being using the evaluate
              other projects, it a step in the wrong direction. I'd like
              to see this fixed really soon.<br>
              <br>
              Thank you.<br>
              - Jim
              <div>
                <div><br>
                  <br>
                  <br>
                  <div>On 3/29/14, 8:53 AM, Samantha Groves wrote:<br>
                  </div>
                </div>
              </div>
              <blockquote style="margin-top:0px;margin-bottom:0px">
                <div>
                  <div>
                    <div dir="ltr">Hello Leaders, <br>
                      <br>
                      Below is the link to my weekly projects report.
                      Please reach out to me if you have any questions
                      about any of the items in the report, and I will
                      do my best to answer them. <br>
                      <br>
                      <a href="https://www.owasp.org/index.php/Projects/Reports/2014-28-03" target="_blank">Projects Weekly Report: March
                        28, 2014</a>
                      <div> <br>
                        Have a great weekend. <br>
                        <br>
                        Thank you, Leaders.<br>
                        <br>
                        Samantha
                        <div><br>
                        </div>
                        <div>-- <br>
                          <div dir="ltr">
                            <p style="margin:0px;font-family:arial,sans-serif;font-size:13px"><font color="#ff6600"><b>Samantha Groves, MBA</b></font></p>
                            <p style="margin:0px;font-family:arial,sans-serif;font-size:13px"><i><font color="#ff6600">OWASP Projects Manager</font></i></p>
                            <p style="margin:0px;font-family:arial,sans-serif;font-size:13px"><i><font color="#ff6600"><br>
                                </font></i></p>
                            <p style="margin:0px;font-family:arial,sans-serif;font-size:13px"><font color="#666666">The OWASP Foundation</font></p>
                            <p style="margin:0px;font-family:arial,sans-serif;font-size:13px"><font color="#666666">Phoenix, USA</font></p>
                            <p style="margin:0px;font-family:arial,sans-serif;font-size:13px"><span style="color:rgb(102,102,102)">Email: <a href="mailto:samantha.groves@owasp.org" target="_blank">samantha.groves@owasp.org</a></span></p>



                            <p style="margin:0px;font-family:arial,sans-serif;font-size:13px"><font color="#666666">Skype: samanthahz </font></p>
                            <p style="margin:0px;font-family:arial,sans-serif;font-size:13px"><font color="#666666"><br>
                              </font></p>
                            <p style="margin:0px;font-family:arial,sans-serif;font-size:13px"><a style="background-color:transparent" href="https://www.owasp.org/index.php/Category:OWASP_Project" target="_blank">OWASP Global Projects</a></p>



                            <p style="margin:0px;font-family:arial,sans-serif;font-size:13px"><a href="http://goo.gl/mZXdZ" target="_blank">Book a Meeting with Me</a></p>
                            <p style="margin:0px;font-family:arial,sans-serif;font-size:13px"><font color="#666666"><a href="http://owasp4.owasp.org/contactus.html" target="_blank">OWASP Contact US Form</a></font></p>
                            <p style="margin:0px;font-family:arial,sans-serif;font-size:13px"><a href="http://www.tfaforms.com/263506" target="_blank">New Project Application
                                Form</a></p>
                            <p style="margin:0px;font-family:arial,sans-serif;font-size:13px"><br>
                            </p>
                            <p style="margin:0px;color:rgb(80,0,80);font-family:arial,sans-serif;font-size:13px"><br>
                            </p>
                          </div>
                        </div>
                      </div>
                    </div>
                    <br>
                    <fieldset></fieldset>
                    <br>
                  </div>
                </div>
                <pre>_______________________________________________
Owasp_project_leader_list mailing list
<a href="mailto:Owasp_project_leader_list@lists.owasp.org" target="_blank">Owasp_project_leader_list@lists.owasp.org</a>
<a href="https://lists.owasp.org/mailman/listinfo/owasp_project_leader_list" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp_project_leader_list</a>
</pre>
              </blockquote>
              <br>
            </div>
          </blockquote>
        </div>
        <br>
        <br clear="all">
        <div><br>
        </div>
        -- <br>
        <div dir="ltr">
          <p style="margin:0px;font-family:arial,sans-serif;font-size:13px"><font color="#ff6600"><b>Samantha Groves, MBA</b></font></p>
          <p style="margin:0px;font-family:arial,sans-serif;font-size:13px"><i><font color="#ff6600">OWASP Projects Manager</font></i></p>
          <p style="margin:0px;font-family:arial,sans-serif;font-size:13px"><i><font color="#ff6600"><br>
              </font></i></p>
          <p style="margin:0px;font-family:arial,sans-serif;font-size:13px"><font color="#666666">The OWASP Foundation</font></p>
          <p style="margin:0px;font-family:arial,sans-serif;font-size:13px"><font color="#666666">Phoenix, USA</font></p>
          <p style="margin:0px;font-family:arial,sans-serif;font-size:13px"><span style="color:rgb(102,102,102)">Email: <a href="mailto:samantha.groves@owasp.org" target="_blank">samantha.groves@owasp.org</a></span></p>
          <p style="margin:0px;font-family:arial,sans-serif;font-size:13px"><font color="#666666">Skype: samanthahz </font></p>
          <p style="margin:0px;font-family:arial,sans-serif;font-size:13px"><font color="#666666"><br>
            </font></p>
          <p style="margin:0px;font-family:arial,sans-serif;font-size:13px"><a style="background-color:transparent" href="https://www.owasp.org/index.php/Category:OWASP_Project" target="_blank">OWASP
              Global Projects</a></p>
          <p style="margin:0px;font-family:arial,sans-serif;font-size:13px"><a href="http://goo.gl/mZXdZ" target="_blank">Book a Meeting with Me</a></p>
          <p style="margin:0px;font-family:arial,sans-serif;font-size:13px"><font color="#666666"><a href="http://owasp4.owasp.org/contactus.html" target="_blank">OWASP Contact US Form</a></font></p>
          <p style="margin:0px;font-family:arial,sans-serif;font-size:13px"><a href="http://www.tfaforms.com/263506" target="_blank">New
              Project Application Form</a></p>
          <p style="margin:0px;font-family:arial,sans-serif;font-size:13px"><br>
          </p>
          <p style="margin:0px;color:rgb(80,0,80);font-family:arial,sans-serif;font-size:13px"><br>
          </p>
        </div>
      </div>
    </blockquote>
    <br>
  </div></div></div>

<br>_______________________________________________<br>
Owasp_project_leader_list mailing list<br>
<a href="mailto:Owasp_project_leader_list@lists.owasp.org" target="_blank">Owasp_project_leader_list@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp_project_leader_list" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp_project_leader_list</a><br>
<br></blockquote></div><br><br clear="all"><br>-- <br><a href="https://www.owasp.org/index.php/ZAP" target="_blank">OWASP ZAP</a> Project leader<br>
</div>
<br>_______________________________________________<br>
Owasp_project_leader_list mailing list<br>
<a href="mailto:Owasp_project_leader_list@lists.owasp.org" target="_blank">Owasp_project_leader_list@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp_project_leader_list" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp_project_leader_list</a><br>
<br></blockquote></div>
</div></div></div></div>
</div>

<br>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div>