Цялата официална документация на OWASP е публикувана на policy.owasp.org. Където цитираме конкретно правило, посочваме директна връзка към оригинала, така че можете да го прочетете в пълнота.
1. Кодекс на поведение
OWASP Sofia спазва Кодекса на поведение на OWASP Foundation, приет от Борда на 25 септември 2024 г. Участието в което и да е наше събитие, включително в хибридни и онлайн формати, означава, че приемате тези правила.
Накратко, очакваме от всеки участник, независимо дали е лектор, домакин, спонсор или слушател:
- Да се отнася към другите с уважение и достойнство, без значение от пол, идентичност, ориентация, увреждане, физически вид, произход, раса, възраст или религия.
- Да не участва в каквато и да е форма на тормоз: вербални нападки, преследване, нежелан физически контакт, неуместно фотографиране или запис, системно прекъсване на доклади, нежелано внимание от сексуален характер.
- Да спазва приложимото законодателство, включително правилата за защита на интелектуална собственост, авторско право и регулации като GDPR.
- Да не вреди на репутацията на колеги, работодатели или на самата общност на OWASP.
- Да избягва конфликти на интереси и да не използва участието си в OWASP за лични или комерсиални облаги, които не са оповестени предварително.
- Да признава авторство, да цитира коректно и да не представя чужда работа като своя.
OWASP има отделна политика за поведение на конференции и събития с по-конкретни anti-harassment разпоредби, която прилагаме в пълна сила. Участници, които откажат да прекратят такова поведение след предупреждение, се отстраняват от събитието без право на достъп до бъдещи.
Ако станете свидетел на нарушение или сте засегнати от такова, моля свържете се с някой от водещите на чаптъра по време на събитието или на нашия имейл след това. Сигналите се обработват дискретно. При по-сериозни случаи се прилага Whistleblower & Anti-Retaliation Policy на OWASP Foundation.
2. Домакинство
Ако вашата организация иска да бъде домакин на среща на OWASP Sofia, благодарим ви предварително. Без местни домакини общността просто не би съществувала в този мащаб. В замяна на това, което осигурявате като пространство и логистика, получавате достъп до техническа аудитория от практици в областта на сигурността: разработчици, AppSec инженери, пентестъри, архитекти, CISO-и, студенти.
Какво очакваме от домакина
- Капацитет. Зала за между 50 и 100 души с места за сядане. По преценка приемаме и по-малко в зависимост от темата, но 50 е практичният минимум, който позволява нормално meetup изживяване. Над 100 става по-сложно за модериране на Q&A и нетуъркинг.
- Оборудване. Прожектор или голям екран, HDMI и USB-C свързаност, микрофон ако залата е по-голяма от 60 души, стабилен Wi-Fi за лекторите и участниците.
- Достъпност. Помещението да е достъпно с градски транспорт и за хора с ограничена подвижност, доколкото това е възможно за сградата ви. Ако има ограничения, кажете ни предварително, за да го отбележим в анонса.
- Регистрация на входа. Място за рецепция или маса, където да настаним списъка с участници и баджове, ако има такива.
- Кафе пауза или почерпка. Не е задължително, но е силно оценено. Малък кетъринг (вода, кафе, лек снакс или пица) подобрява изживяването и общуването след докладите. Това се счита за бартерно спонсорство по Chapters Policy, което е изрично разрешено от OWASP.
- Запис и стрийминг. По избор. Ако имате техника и оператор, чудесно. Ако не, ще се справим със собствено оборудване.
Какво получавате вие като домакин
- Видимост в комуникацията преди и по време на събитието: лого на началния слайд, споменаване в постовете в LinkedIn и социалните мрежи, благодарност от подиума.
- Споменаване на страницата на чаптъра в owasp.org.
- Възможност да изпратите кратко (до 5 минути) представяне в началото на събитието за работодателското си предложение, текущи отворени позиции, технологичния стек, който ползвате. Това не е продаване на услуги или продукти, а представяне на компанията като технологична среда. Кандидатите в залата трябва да разберат с кого си имат работа.
- Достъп до общността като рекрутер и партньор за бъдещи инициативи.
Какво не правим
OWASP е vendor-neutral организация и това не е поза, а част от мисията. Branding Guidelines и Word Mark Usage Guidelines на OWASP изрично забраняват използването на марката за внушаване, че OWASP препоръчва, одобрява или поддържа конкретен продукт или услуга. На практика това означава:
- Залата на meetup-а не е място за агресивна промоция на продукти, SaaS платформи, обучителни курсове или услуги на домакина или на негови партньори.
- Раздаването на маркетингови материали и sales разговори вървят в отделна обозначена зона (фоайе, рецепция, отделна маса), не от подиума.
- Брандингът на домакина не може да измества или прикрива OWASP брандинга в основните визуали на събитието.
- Името и логото на OWASP не могат да бъдат използвани в самостоятелни маркетингови материали на домакина без отделно писмено разрешение от OWASP Foundation.
Това не са произволни ограничения. Аудиторията идва, защото знае, че няма да гледа 90 минути sales presentation, и това е причината общността да расте. Ако някоя тема ви тежи в това отношение, говорете с нас предварително. Винаги намираме формат, който работи и за двете страни.
3. Презентации
Ако искате да изнесете доклад на OWASP Sofia, ще се радваме. Имаме рулинг CFP и приемаме предложения целогодишно. Изпратете заглавие, кратко описание (3-5 изречения), bio и приблизителна продължителност през формата за лектори.
Какво очакваме от съдържанието
- Технически фокус. Application security, DevSecOps, cloud security, threat modeling, secure coding, reverse engineering, red team или blue team практики, AI security, supply chain, container и Kubernetes security, identity, криптография, инциденти и lessons learned. Темите трябва да са свързани с практическата страна на сигурността на софтуера и системите.
- Дълбочина. Аудиторията е техническа. Очакваме демонстрации, реален код, конфигурации, архитектурни диаграми, payload-и, PoC-и или конкретни данни от продукция. Slide deck с дефиниции на основни термини и пет bullet point-а за „best practices“ няма да мине.
- Оригинално съдържание. Презентации, които вече сте показвали на други събития, са приемливи, стига да са релевантни и да не са преразказване на чужди материали без авторство. Ако ползвате чужди ресурси, цитирайте ги.
- Време. Стандартният слот е 25-35 минути плюс 5-10 минути за въпроси. По-дълги формати са възможни за workshop сесии, но се обсъждат отделно.
Какво не приемаме
- Маркетингови презентации. Доклад, в който логото на компанията се появява на всеки слайд, продуктът се позиционира като решение на всеки проблем и завършвате с QR код за demo заявка, не е технически доклад. Това важи и за безплатни инструменти и open source проекти, които промотирате. Фокусът трябва да е върху проблема и подхода, не върху самия инструмент.
- Generic awareness съдържание. „Защо сигурността е важна“, „10-те най-чести грешки в паролите“, обобщения на OWASP Top 10 без нов ъгъл, въведения в GDPR. Има си място за това, но не на нашия meetup.
- Чисто мениджърски или governance доклади без техническа стойност. Compliance е валидна тема, но трябва да има конкретика зад слайдовете: примери от одити, технически контроли, autonate-вани проверки.
- Sponsored content. Дори когато спонсор иска да изпрати свой лектор, очакванията към доклада са същите. Това е принципно положение, изрично уредено в Events Policy на OWASP, секцията за избор на лектори чрез blind review.
Какво осигуряваме на лекторите
- Подготвителен разговор преди събитието, ако желаете, за синхронизация на очаквания за дълбочина, време и аудитория.
- Презентационен темплейт с брандинг на OWASP Sofia (вижте следващата секция).
- Тех-проба преди старта на събитието.
- Запис на доклада, ако сте съгласни. Видеата качваме в YouTube канала на чаптъра в рамките на няколко седмици, съгласно препоръката на OWASP за event recordings.
- Промоция на доклада ви през каналите ни преди и след събитието.
Лекторите на по-формални събития подписват Speaker Agreement на OWASP Foundation. За редовни чаптър срещи това не е задължително, но правилата за съдържание са същите.
4. Брандинг
Цялото използване на името OWASP, логото и марките е регулирано от Branding Guidelines и OWASP Word Mark Usage Guidelines на OWASP Foundation. Накратко.
Какво може да се ползва
- Логото на OWASP в одобрените цветове (черно, бяло, синьо RGB, синьо CMYK), в комбинация с wordmark или само като символ. Файловете са достъпни през OWASP Brand Guidelines 2024 на Google Drive.
- Името „OWASP Sofia“ или „OWASP София“ за обозначение на нашите събития и комуникация.
- Споменаване, че събитието е „hosted by OWASP Sofia“ или „in collaboration with OWASP Sofia“ в маркетингови материали, стига това да отговаря на реалността и да не подсказва партньорство, което не съществува.
- Стандартните типографии: Poppins за заглавия, Barlow за основен текст, Montserrat Alternates като приблизителен заместител на логотипа.
Какво не може
- Промяна на логото: смяна на пропорциите, ъгъла на осата, цветовете, кръг към квадрат, нестандартни илюстрации на осата. Логото се ползва точно както е предоставено от OWASP Foundation.
- Включване на „OWASP“ в име на компания, продукт, домейн или услуга. Според Word Mark Usage Guidelines, точка 3.3, марката се ползва само като прилагателно („OWASP Top Ten list“), не като съществително, глагол или притежателна форма.
- Използване на брандинга, за да се внушава, че OWASP препоръчва или одобрява даден продукт, услуга или обучение. Това е изрично забранено и е една от най-сериозните червени линии.
- Поставяне на OWASP логото като фон, watermark или повтарящ се елемент в дизайн на собствени маркетингови материали (по точка 3.2.h от Word Mark Usage Guidelines).
- Използване в собствени банери, ролъпи, билбордове извън контекста на одобрено OWASP събитие без предварително разрешение от Foundation.
Презентационни темплейти
Предоставяме на лекторите готов OWASP Sofia presentation template (Google Slides и Keynote), който включва коректните цветове, лого, типографии и trademark обозначения. Молим ви да го ползвате. Ако имате причина да не го направите (например изключително специфичен слайдов формат за live demo), използвайте предоставения от OWASP combined logo and wordmark и спазвайте brand guidelines.
Statement of Non-Endorsement
Когато презентация или материал реферира външни продукти, услуги или инструменти, добавяме следния стандартен текст (source):
The Open Worldwide Application Security Project (OWASP) is a 501(c)(3) worldwide not-for-profit charitable organization focused on improving the security of software. OWASP does not endorse or recommend any product or service. This allows our community to remain vendor neutral with the collective wisdom of the best minds in software security worldwide.
5. Програма
Стандартният формат на едно meetup събитие на OWASP Sofia изглежда така, както е описано по-долу. Това е насока, не закон. Финалната програма зависи от темите, броя лектори и спецификата на залата.
Типичен агенда блок
| Час (пример) | Какво | Бележки |
|---|---|---|
| 18:30 – 19:00 | Регистрация, нетуъркинг, кафе | Гостите се настаняват, домакинът поздравява |
| 19:00 – 19:10 | Откриване от чаптъра | 5-10 минути: новини от OWASP Sofia, представяне на домакина |
| 19:10 – 19:15 | Кратка дума от домакина | По избор, фокус върху технологичен профил и кариерни възможности |
| 19:15 – 19:50 | Доклад 1 | 25-30 мин + 5 мин Q&A |
| 19:50 – 20:25 | Доклад 2 | 25-30 мин + 5 мин Q&A |
| 20:25 – 20:40 | Пауза | Втора кафе или снакс пауза |
| 20:40 – 21:15 | Доклад 3 | 25-30 мин + 5 мин Q&A |
| 21:15 – 21:30 | Lightning talks или панел | Опционални 1-2 кратки доклада от 5-10 минути |
| 21:30 нататък | Нетуъркинг | Често продължава в близък бар или ресторант |
В рамките на едно събитие имаме обикновено между 3 и 5 сесии, в зависимост от продължителността им. Lightning talks (5-10 минути) са добра възможност за първи лектори, ad-hoc демонстрации или представяне на open source проекти от общността.
Какво можете да очаквате от нас като чаптър
- Промоция. Анонсът излиза 2-3 седмици преди събитието през Meetup, LinkedIn, X/Twitter, имейл лист и Slack на български security общности.
- Регистрационна страница. Използваме Meetup.com/owasp-sofia-chapter за анонси и регистрация — едно от стандартните места, където OWASP чаптъри организират срещите си.
- Безплатен достъп. Всички редовни срещи на OWASP чаптъри са безплатни, без изключение. Това е изрично записано в Chapters Policy, секция „Meetings and Activity Requirements“.
- Записи. Където е възможно, излъчваме на живо или записваме и публикуваме видеата след събитието.
- Активност. OWASP изисква минимум 3 чаптър активности годишно (Chapters Policy); в практиката се стремим към една среща на 1-2 месеца, плюс участие в по-големи събития като BSides Sofia, AppSec Days, OWASP Global AppSec, когато има условия.
За участниците
- Не е нужно да сте OWASP member, за да дойдете. Всички срещи са отворени за публиката съгласно Chapters Policy.
- Предварителна регистрация е желателна за капацитетно планиране на залата и почерпката, но не е задължителна за повечето събития.
- Не споделяме и не продаваме лични данни на трети страни. Данните от регистрацията се обработват съгласно OWASP Privacy Policy и приложимите регулации в ЕС (GDPR).
- Снимки и видео могат да бъдат правени по време на събитието и да се ползват в маркетингови материали на OWASP. Ако предпочитате да не сте на снимки, кажете ни на входа, ще го уважим.