<p dir="ltr">I sent it 9:40 AM EDT. Try again. That being said I oppose any precedent that restricts when I can send an email. I'm a volunteer, I'll work on WAFEC when I have the time, even late on a Friday should I choose.<br>
</p>
<div class="gmail_quote">On Nov 20, 2015 4:53 PM, "Christian Heinrich" <<a href="mailto:christian.heinrich@cmlh.id.au">christian.heinrich@cmlh.id.au</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Tony,<br>
<br>
I find the publication of your e-mail sent on a Friday evening (USA<br>
timezone) is intended to "fly under the radar".<br>
<br>
On Sat, Nov 21, 2015 at 1:40 AM, Tony Turner <<a href="mailto:tony.turner@owasp.org">tony.turner@owasp.org</a>> wrote:<br>
> In the interest of full disclosure I wanted to announce to the list that<br>
> Mark Kraynak and Amichai Shulman of Imperva have provided us with the source<br>
> code for the Imperva WTF WAF testing tool. Out intent is not to rebrand as a<br>
> WAFEC tool, but to utilize as guide for the development of a separate<br>
> independent tool. It will likely be a very different tool and I want to<br>
> reiterate that we are not intending to re-release any of their work effort<br>
> without significant rework or at the very least, a comprehensive review. At<br>
> this time I don't know exactly what that will look like as we have not<br>
> gathered requirements yet.<br>
<br>
This a conflict of interest that you have not disclosed as you:<br>
- Haven't "... gathered requirements yet" which will now be<br>
subsequently influenced by Imperva<br>
- Provided perferrental treatment to a vendor that has a relationship<br>
with your employer<br>
<a href="http://www.eventbrite.com/e/c-level-round-table-with-guidepoint-security-imperva-fireeye-tickets-18454616254" rel="noreferrer" target="_blank">http://www.eventbrite.com/e/c-level-round-table-with-guidepoint-security-imperva-fireeye-tickets-18454616254</a><br>
(dated days ago) and exluded bodies of work i.e.<br>
<a href="http://lists.webappsec.org/pipermail/wasc-wafec_lists.webappsec.org/2015-September/000312.html" rel="noreferrer" target="_blank">http://lists.webappsec.org/pipermail/wasc-wafec_lists.webappsec.org/2015-September/000312.html</a><br>
<br>
On Sat, Nov 21, 2015 at 1:40 AM, Tony Turner <<a href="mailto:tony.turner@owasp.org">tony.turner@owasp.org</a>> wrote:<br>
> Some of the logic and structure may remain, but I wanted to make sure there<br>
> was transparency around this resource for WAFEC. If there are those on this<br>
> list who have an interest in being actively involved in the development of<br>
> this new toolset or have specific requirements you would like the tool to<br>
> address, please shoot me an email and I'll get you added to the development<br>
> team, or at the very least get your requests added to the list. If you are a<br>
> vendor, and have specific concerns about this approach, please let me know.<br>
> I'd love to get your feedback.<br>
<br>
I consider this a breach of<br>
<a href="https://www.owasp.org/index.php/OWASP_Project_Inventory#Labs_Projects" rel="noreferrer" target="_blank">https://www.owasp.org/index.php/OWASP_Project_Inventory#Labs_Projects</a><br>
i.e. the source code should be available under an applicable FOSS<br>
license.<br>
<br>
On Sat, Nov 21, 2015 at 1:40 AM, Tony Turner <<a href="mailto:tony.turner@owasp.org">tony.turner@owasp.org</a>> wrote:<br>
> I don't intend to ramp up dev efforts for a few more months, at least not<br>
> until the actual criteria are more well defined for the next version but I<br>
> wanted to get the ball rolling so we can start gathering requirements and<br>
> head off any concerns in advance of actual dev work starting. Lastly, we<br>
> will not release any tool publically as an official WAFEC deliverable until<br>
> all members of the vendor subgroup have had a chance to review it.<br>
<br>
At BlackHat USA (August 2015) you alluded to the creation of a<br>
consolidating all contribution into a single Google Document i.e. 6 of<br>
<a href="http://lists.webappsec.org/pipermail/wasc-wafec_lists.webappsec.org/2015-September/000313.html" rel="noreferrer" target="_blank">http://lists.webappsec.org/pipermail/wasc-wafec_lists.webappsec.org/2015-September/000313.html</a><br>
<br>
Can I please have access to this Google Doc(s) ASAP?  If not, then it<br>
is reasonable to infer that you have made not effort to deliver over<br>
three months.  Rather, WAFEC has been used to promote the business<br>
interests of GuidePoint Security (your employer) in addition to other<br>
marketing, such as<br>
<a href="https://twitter.com/guidepointsec/status/656090183125835778" rel="noreferrer" target="_blank">https://twitter.com/guidepointsec/status/656090183125835778</a> dated 15<br>
October 2015.<br>
<br>
Neither are vendors to influence WAFEC due to their conflict of<br>
interest.  Hence, the requirement that the leader of this project is<br>
an end user (consumer) of WAF products and not a reseller.<br>
<br>
On Sat, Nov 21, 2015 at 1:40 AM, Tony Turner <<a href="mailto:tony.turner@owasp.org">tony.turner@owasp.org</a>> wrote:<br>
> If you are a WAF vendor and wish to be added to the vendor subgroup, please<br>
> shoot me an email with your contact information and role. We are not<br>
> excluding any vendor from this process.<br>
<br>
It would defy belief that you have not at least attempted to make<br>
contact with the other WAF vendors but then again GuidePoint Security<br>
do not have a reseller agreement wtih these other vendors.<br>
<br>
On Sat, Nov 21, 2015 at 1:40 AM, Tony Turner <<a href="mailto:tony.turner@owasp.org">tony.turner@owasp.org</a>> wrote:<br>
> As of this time, the following vendors are represented on our vendor<br>
> subgroup:<br>
><br>
> Verizon<br>
> Radware<br>
> Ergon<br>
> Cdnetworks<br>
> Imperva<br>
> F5<br>
> Sentrix<br>
<br>
A majority of these are replicated from<br>
<a href="http://www.guidepointsecurity.com/vendors" rel="noreferrer" target="_blank">http://www.guidepointsecurity.com/vendors</a><br>
<br>
In conclusion, in light of the recent promotional activies of<br>
GuidePoint Security and Imperva and others such as<br>
<a href="https://twitter.com/guidepointsec/status/656090183125835778" rel="noreferrer" target="_blank">https://twitter.com/guidepointsec/status/656090183125835778</a> and if you<br>
are unable to provide access to the Google Doc that we discussed at<br>
BlackHat and the source code, then I respectively request that you<br>
resign from this project due to these ongoing conflicts of interest<br>
with GuidePoint Security?<br>
<br>
<br>
--<br>
Regards,<br>
Christian Heinrich<br>
<br>
<a href="http://cmlh.id.au/contact" rel="noreferrer" target="_blank">http://cmlh.id.au/contact</a><br>
<br>
_______________________________________________<br>
wasc-wafec mailing list<br>
<a href="mailto:wasc-wafec@lists.webappsec.org">wasc-wafec@lists.webappsec.org</a><br>
<a href="http://lists.webappsec.org/mailman/listinfo/wasc-wafec_lists.webappsec.org" rel="noreferrer" target="_blank">http://lists.webappsec.org/mailman/listinfo/wasc-wafec_lists.webappsec.org</a><br>
</blockquote></div>