<div dir="ltr">OK, let me try this again Christian because I didn't see all your libelous accusations below.<div><div><br></div><div><span class="">On Nov 20, 2015 4:53 PM, "Christian Heinrich" <<a href="mailto:christian.heinrich@cmlh.id.au" target="_blank">christian.heinrich@cmlh.id.au</a>> wrote:<br type="attribution"></span><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span class="">Tony,<br><br>I find the publication of your e-mail sent on a Friday evening (USA<br>timezone) is intended to "fly under the radar".<br></span></blockquote><div><br></div><div>I've already stated this was a 9:40 AM email for me. Not exactly hiding anything</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span class=""><br>On Sat, Nov 21, 2015 at 1:40 AM, Tony Turner <<a href="mailto:tony.turner@owasp.org" target="_blank">tony.turner@owasp.org</a>> wrote:<br></span><span class="">> In the interest of full disclosure I wanted to announce to the list that<br>> Mark Kraynak and Amichai Shulman of Imperva have provided us with the source<br>> code for the Imperva WTF WAF testing tool. Out intent is not to rebrand as a<br>> WAFEC tool, but to utilize as guide for the development of a separate<br>> independent tool. It will likely be a very different tool and I want to<br>> reiterate that we are not intending to re-release any of their work effort<br>> without significant rework or at the very least, a comprehensive review. At<br>> this time I don't know exactly what that will look like as we have not<br>> gathered requirements yet.<br><br></span><span class="">This a conflict of interest that you have not disclosed as you:<br>- Haven't "... gathered requirements yet" which will now be<br>subsequently influenced by Imperva<br></span></blockquote><div><br></div><div>No they will not. You are making unfounded assumptions. I do have a loose set of requirements in my head but WAFEC has not officially documented the list of requirements. That is the process. Not me looking at Imperva's WTF tool and laying out a roadmap that aligns with that. Any pre-development work will start with the  a structured set of requirements that the community will get a commentary period on.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span class="">- Provided perferrental treatment to a vendor that has a relationship<br>with your employer<br><a href="http://www.eventbrite.com/e/c-level-round-table-with-guidepoint-security-imperva-fireeye-tickets-18454616254" rel="noreferrer" target="_blank">http://www.eventbrite.com/e/c-level-round-table-with-guidepoint-security-imperva-fireeye-tickets-18454616254</a></span></blockquote><div><br></div><div>Yup, my employer works with just about any decent security vendor that customers might want to buy a product with that we happen to have had occasion to deal with. I was transparent about my employer before I took over WAFEC. As you noted in your response, it's a rather large list of vendors.</div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span class="">(dated days ago) and exluded bodies of work i.e.<br><a href="http://lists.webappsec.org/pipermail/wasc-wafec_lists.webappsec.org/2015-September/000312.html" rel="noreferrer" target="_blank">http://lists.webappsec.org/pipermail/wasc-wafec_lists.webappsec.org/2015-September/000312.html</a></span></blockquote><div><br></div><div>I have not excluded any bodies of work. i did not receive sufficient response on my query to be noteworthy at that time. Lot's of people telling me it was a great idea, nobody that actually wanted to contribute anything.  </div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span class=""><br><br>On Sat, Nov 21, 2015 at 1:40 AM, Tony Turner <<a href="mailto:tony.turner@owasp.org" target="_blank">tony.turner@owasp.org</a>> wrote:<br></span><span class="">> Some of the logic and structure may remain, but I wanted to make sure there<br>> was transparency around this resource for WAFEC. If there are those on this<br>> list who have an interest in being actively involved in the development of<br>> this new toolset or have specific requirements you would like the tool to<br>> address, please shoot me an email and I'll get you added to the development<br>> team, or at the very least get your requests added to the list. If you are a<br>> vendor, and have specific concerns about this approach, please let me know.<br>> I'd love to get your feedback.<br><br></span><span class="">I consider this a breach of<br><a href="https://www.owasp.org/index.php/OWASP_Project_Inventory#Labs_Projects" rel="noreferrer" target="_blank">https://www.owasp.org/index.php/OWASP_Project_Inventory#Labs_Projects</a><br>i.e. the source code should be available under an applicable FOSS<br>license.<br></span></blockquote><div><br></div><div>What source code? Imperva's? Go talk to them if you have an issue with their licensing. WAFEC does not have source code to actually be in violation of any license. We have not yet started development. i simply accepted Imperva's offer for the sharing of their source code. </div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span class=""><br>On Sat, Nov 21, 2015 at 1:40 AM, Tony Turner <<a href="mailto:tony.turner@owasp.org" target="_blank">tony.turner@owasp.org</a>> wrote:<br></span><span class="">> I don't intend to ramp up dev efforts for a few more months, at least not<br>> until the actual criteria are more well defined for the next version but I<br>> wanted to get the ball rolling so we can start gathering requirements and<br>> head off any concerns in advance of actual dev work starting. Lastly, we<br>> will not release any tool publically as an official WAFEC deliverable until<br>> all members of the vendor subgroup have had a chance to review it.<br><br></span><span class="">At BlackHat USA (August 2015) you alluded to the creation of a<br>consolidating all contribution into a single Google Document i.e. 6 of<br><a href="http://lists.webappsec.org/pipermail/wasc-wafec_lists.webappsec.org/2015-September/000313.html" rel="noreferrer" target="_blank">http://lists.webappsec.org/pipermail/wasc-wafec_lists.webappsec.org/2015-September/000313.html</a><br><br>Can I please have access to this Google Doc(s) ASAP?  </span></blockquote><div><br></div><div>The document was worked on at AppSecUSA WAFEC Workshop with Raphael Chileshe of Radware. Why only Radware you might ask? Because nobody else showed up. The invitation was open to all. He did not make any changes to the core document, and the crux of our efforts was a reorganization of content and roadmap realignment and then general conversation around the project. I'll be happy to provide a link for any contributor who wishes it, but at this point I'm not really ready to post it publicly for comment yet.</div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span class="">If not, then it<br>is reasonable to infer that you have made not effort to deliver over<br>three months.  </span></blockquote><div><br></div><div>I'm a busy man. I work a lot of hours and have a family as well. I'm aligned with the roadmap we posted at the OWASP wiki and the project is moving. Slowly, but moving. </div><div> <br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span class="">Rather, WAFEC has been used to promote the business<br>interests of GuidePoint Security (your employer) in addition to other<br>marketing, such as<br><a href="https://twitter.com/guidepointsec/status/656090183125835778" rel="noreferrer" target="_blank">https://twitter.com/guidepointsec/status/656090183125835778</a> dated 15<br>October 2015.<br><br></span></blockquote><div><br></div><div>I run WAF services offerings for my employer. I don't sell products. I don't get commission for products. My association with open source projects that are relevant to the professional services my company and i provide, brings insight for customers who want to understand who it is they are doing business with. There are no OWASP or WASC branded logos on our blog. We do not claim to have an OWASP or WASC authorized or approved product or service. My association with WAFEC is not a secret, nor should it be. My employer graciously allows me to use their time (when I'm not billing) to work on WAFEC. I don't see any issue here with daring to mention my involvement with an open source project focused on WAF when stating credentials for a blog post on WAF best practices.</div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span class="">Neither are vendors to influence WAFEC due to their conflict of<br>interest.  Hence, the requirement that the leader of this project is<br>an end user (consumer) of WAF products and not a reseller.<br></span></blockquote><div><br></div><div>That was not a requirement and I clearly stated my affiliations before taking over the project. There were no objections then.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span class=""><br>On Sat, Nov 21, 2015 at 1:40 AM, Tony Turner <<a href="mailto:tony.turner@owasp.org" target="_blank">tony.turner@owasp.org</a>> wrote:<br></span><span class="">> If you are a WAF vendor and wish to be added to the vendor subgroup, please<br>> shoot me an email with your contact information and role. We are not<br>> excluding any vendor from this process.<br><br></span><span class="">It would defy belief that you have not at least attempted to make<br>contact with the other WAF vendors but then again GuidePoint Security<br>do not have a reseller agreement wtih these other vendors.<br></span></blockquote><div><br></div><div>I also physically visited tradeshow booths at Black Hat for A10 (who we resell) and Citrix (who we resell) and did not receive sufficient information from them to facilitate a relationship with WAFEC. I'm still open to conversations there. I am very disconnected from the VAR sales cycle at GuidePoint and do not have the vendor relationships you think I do.</div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span class=""><br>On Sat, Nov 21, 2015 at 1:40 AM, Tony Turner <<a href="mailto:tony.turner@owasp.org" target="_blank">tony.turner@owasp.org</a>> wrote:<br></span><span class="">> As of this time, the following vendors are represented on our vendor<br>> subgroup:<br>><br>> Verizon</span></blockquote><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span class="">> Radware<br>> Ergon<br>> Cdnetworks<br>> Imperva<br>> F5<br>> Sentrix<br><br></span><span class="">A majority of these are replicated from<br><a href="http://www.guidepointsecurity.com/vendors" rel="noreferrer" target="_blank">http://www.guidepointsecurity.com/vendors</a></span></blockquote><div><br></div><div> 2 out of 7 vendors is hardly a majority</div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span class=""><br><br>In conclusion, in light of the recent promotional activies of<br>GuidePoint Security and Imperva and others such as<br><a href="https://twitter.com/guidepointsec/status/656090183125835778" rel="noreferrer" target="_blank">https://twitter.com/guidepointsec/status/656090183125835778</a> and if you<br>are unable to provide access to the Google Doc that we discussed at<br>BlackHat and the source code, then I respectively request that you<br>resign from this project due to these ongoing conflicts of interest<br>with GuidePoint Security?<br></span></blockquote><div><br></div><div>I will provide access to the doc for contributors. Contributors are part of my team. Anyone else will have to satisfy themselves with the previously published version until we are prepared for comment. I assure you we will not publish anything without an acceptable review period.</div><div><br></div><div>There is no source code. </div><div><br></div><div>Lastly, No.</div><div><br></div><div>This is the only time I will ever respond to one of these Christian. I gave you a chance against the advice of many who spoke against you because I know how passion can sometimes be misconstrued. Please don't make me regret that decision. You can consider this my first and only warning. </div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span class=""><br><br>--<br>Regards,<br>Christian Heinrich<br><br><a href="http://cmlh.id.au/contact" rel="noreferrer" target="_blank">http://cmlh.id.au/contact</a></span></blockquote></div><div><br></div><div><br></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Nov 20, 2015 at 7:19 PM, Tony Turner <span dir="ltr"><<a href="mailto:tony@sentinel24.com" target="_blank">tony@sentinel24.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><p dir="ltr">I sent it 9:40 AM EDT. Try again. That being said I oppose any precedent that restricts when I can send an email. I'm a volunteer, I'll work on WAFEC when I have the time, even late on a Friday should I choose.<br>
</p>
<div class="gmail_quote"><span class="">On Nov 20, 2015 4:53 PM, "Christian Heinrich" <<a href="mailto:christian.heinrich@cmlh.id.au" target="_blank">christian.heinrich@cmlh.id.au</a>> wrote:<br type="attribution"></span><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span class="">Tony,<br>
<br>
I find the publication of your e-mail sent on a Friday evening (USA<br>
timezone) is intended to "fly under the radar".<br>
<br>
On Sat, Nov 21, 2015 at 1:40 AM, Tony Turner <<a href="mailto:tony.turner@owasp.org" target="_blank">tony.turner@owasp.org</a>> wrote:<br></span><span class="">
> In the interest of full disclosure I wanted to announce to the list that<br>
> Mark Kraynak and Amichai Shulman of Imperva have provided us with the source<br>
> code for the Imperva WTF WAF testing tool. Out intent is not to rebrand as a<br>
> WAFEC tool, but to utilize as guide for the development of a separate<br>
> independent tool. It will likely be a very different tool and I want to<br>
> reiterate that we are not intending to re-release any of their work effort<br>
> without significant rework or at the very least, a comprehensive review. At<br>
> this time I don't know exactly what that will look like as we have not<br>
> gathered requirements yet.<br>
<br></span><span class="">
This a conflict of interest that you have not disclosed as you:<br>
- Haven't "... gathered requirements yet" which will now be<br>
subsequently influenced by Imperva<br>
- Provided perferrental treatment to a vendor that has a relationship<br>
with your employer<br>
<a href="http://www.eventbrite.com/e/c-level-round-table-with-guidepoint-security-imperva-fireeye-tickets-18454616254" rel="noreferrer" target="_blank">http://www.eventbrite.com/e/c-level-round-table-with-guidepoint-security-imperva-fireeye-tickets-18454616254</a><br>
(dated days ago) and exluded bodies of work i.e.<br>
<a href="http://lists.webappsec.org/pipermail/wasc-wafec_lists.webappsec.org/2015-September/000312.html" rel="noreferrer" target="_blank">http://lists.webappsec.org/pipermail/wasc-wafec_lists.webappsec.org/2015-September/000312.html</a><br>
<br>
On Sat, Nov 21, 2015 at 1:40 AM, Tony Turner <<a href="mailto:tony.turner@owasp.org" target="_blank">tony.turner@owasp.org</a>> wrote:<br></span><span class="">
> Some of the logic and structure may remain, but I wanted to make sure there<br>
> was transparency around this resource for WAFEC. If there are those on this<br>
> list who have an interest in being actively involved in the development of<br>
> this new toolset or have specific requirements you would like the tool to<br>
> address, please shoot me an email and I'll get you added to the development<br>
> team, or at the very least get your requests added to the list. If you are a<br>
> vendor, and have specific concerns about this approach, please let me know.<br>
> I'd love to get your feedback.<br>
<br></span><span class="">
I consider this a breach of<br>
<a href="https://www.owasp.org/index.php/OWASP_Project_Inventory#Labs_Projects" rel="noreferrer" target="_blank">https://www.owasp.org/index.php/OWASP_Project_Inventory#Labs_Projects</a><br>
i.e. the source code should be available under an applicable FOSS<br>
license.<br>
<br>
On Sat, Nov 21, 2015 at 1:40 AM, Tony Turner <<a href="mailto:tony.turner@owasp.org" target="_blank">tony.turner@owasp.org</a>> wrote:<br></span><span class="">
> I don't intend to ramp up dev efforts for a few more months, at least not<br>
> until the actual criteria are more well defined for the next version but I<br>
> wanted to get the ball rolling so we can start gathering requirements and<br>
> head off any concerns in advance of actual dev work starting. Lastly, we<br>
> will not release any tool publically as an official WAFEC deliverable until<br>
> all members of the vendor subgroup have had a chance to review it.<br>
<br></span><span class="">
At BlackHat USA (August 2015) you alluded to the creation of a<br>
consolidating all contribution into a single Google Document i.e. 6 of<br>
<a href="http://lists.webappsec.org/pipermail/wasc-wafec_lists.webappsec.org/2015-September/000313.html" rel="noreferrer" target="_blank">http://lists.webappsec.org/pipermail/wasc-wafec_lists.webappsec.org/2015-September/000313.html</a><br>
<br>
Can I please have access to this Google Doc(s) ASAP?  If not, then it<br>
is reasonable to infer that you have made not effort to deliver over<br>
three months.  Rather, WAFEC has been used to promote the business<br>
interests of GuidePoint Security (your employer) in addition to other<br>
marketing, such as<br>
<a href="https://twitter.com/guidepointsec/status/656090183125835778" rel="noreferrer" target="_blank">https://twitter.com/guidepointsec/status/656090183125835778</a> dated 15<br>
October 2015.<br>
<br>
Neither are vendors to influence WAFEC due to their conflict of<br>
interest.  Hence, the requirement that the leader of this project is<br>
an end user (consumer) of WAF products and not a reseller.<br>
<br>
On Sat, Nov 21, 2015 at 1:40 AM, Tony Turner <<a href="mailto:tony.turner@owasp.org" target="_blank">tony.turner@owasp.org</a>> wrote:<br></span><span class="">
> If you are a WAF vendor and wish to be added to the vendor subgroup, please<br>
> shoot me an email with your contact information and role. We are not<br>
> excluding any vendor from this process.<br>
<br></span><span class="">
It would defy belief that you have not at least attempted to make<br>
contact with the other WAF vendors but then again GuidePoint Security<br>
do not have a reseller agreement wtih these other vendors.<br>
<br>
On Sat, Nov 21, 2015 at 1:40 AM, Tony Turner <<a href="mailto:tony.turner@owasp.org" target="_blank">tony.turner@owasp.org</a>> wrote:<br></span><span class="">
> As of this time, the following vendors are represented on our vendor<br>
> subgroup:<br>
><br>
> Verizon<br>
> Radware<br>
> Ergon<br>
> Cdnetworks<br>
> Imperva<br>
> F5<br>
> Sentrix<br>
<br></span><span class="">
A majority of these are replicated from<br>
<a href="http://www.guidepointsecurity.com/vendors" rel="noreferrer" target="_blank">http://www.guidepointsecurity.com/vendors</a><br>
<br>
In conclusion, in light of the recent promotional activies of<br>
GuidePoint Security and Imperva and others such as<br>
<a href="https://twitter.com/guidepointsec/status/656090183125835778" rel="noreferrer" target="_blank">https://twitter.com/guidepointsec/status/656090183125835778</a> and if you<br>
are unable to provide access to the Google Doc that we discussed at<br>
BlackHat and the source code, then I respectively request that you<br>
resign from this project due to these ongoing conflicts of interest<br>
with GuidePoint Security?<br>
<br>
<br>
--<br>
Regards,<br>
Christian Heinrich<br>
<br>
<a href="http://cmlh.id.au/contact" rel="noreferrer" target="_blank">http://cmlh.id.au/contact</a><br>
<br>
_______________________________________________<br>
wasc-wafec mailing list<br>
<a href="mailto:wasc-wafec@lists.webappsec.org" target="_blank">wasc-wafec@lists.webappsec.org</a><br>
<a href="http://lists.webappsec.org/mailman/listinfo/wasc-wafec_lists.webappsec.org" rel="noreferrer" target="_blank">http://lists.webappsec.org/mailman/listinfo/wasc-wafec_lists.webappsec.org</a><br>
</span></blockquote></div>
</blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><font color="#888888">Tony Turner<br>OWASP Orlando Chapter Founder/Co-Leader</font></div><div><font color="#888888">WAFEC Project Leader</font></div><div><font color="#888888">STING Game Project Leader<br><a href="mailto:tony.turner@owasp.org" target="_blank">tony.turner@owasp.org</a></font><div><a href="https://www.owasp.org/index.php/Orlando" target="_blank">https://www.owasp.org/index.php/Orlando</a></div></div></div></div></div></div></div></div>
</div></div></div>