<html><head></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">FYI... here's a note I posted to the Open Web Foundation list in response to some soul-searching questions from Eran Hammer-Lahav, the OWF Chair, about the direction of OWF. &nbsp;If you are on that list (or would like to be) you might want to participate in this particular conversation. &nbsp;The mailing list detail and archive is here:<div><br></div><div><a href="http://groups.google.com/group/open-web-discuss?pli=1">http://groups.google.com/group/open-web-discuss?pli=1</a><br>
<div><br><div>Begin forwarded message:</div><br class="Apple-interchange-newline"><blockquote type="cite"><div style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px;"><span style="font-family:'Helvetica'; font-size:medium; color:rgba(0, 0, 0, 1);"><b>From: </b></span><span style="font-family:'Helvetica'; font-size:medium;">Brett McDowell &lt;email@brettmcdowell.com&gt;<br></span></div><div style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px;"><span style="font-family:'Helvetica'; font-size:medium; color:rgba(0, 0, 0, 1);"><b>Date: </b></span><span style="font-family:'Helvetica'; font-size:medium;">December 11, 2009 8:05:10 AM EST<br></span></div><div style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px;"><span style="font-family:'Helvetica'; font-size:medium; color:rgba(0, 0, 0, 1);"><b>To: </b></span><span style="font-family:'Helvetica'; font-size:medium;">open-web-discuss@googlegroups.com<br></span></div><div style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px;"><span style="font-family:'Helvetica'; font-size:medium; color:rgba(0, 0, 0, 1);"><b>Subject: </b></span><span style="font-family:'Helvetica'; font-size:medium;"><b>Re: What's in a name? That which we call the Open Web Foundation</b><br></span></div><br><div>Disclaimer: <br>As most of you know, I'm the Executive Director of Kantara Initiative, an organization formed in April 2009. &nbsp;At the risk of sounding like a commercial for my own organization, I owe it to Eran (and all of you) to answer his questions as accurately and completely as I can, even if doing so makes me look like a salesman (though nothing I mention below costs any money, it's all available to the community free-of-charge, underwritten by corporate sponsorship/membership). &nbsp;I hope you take this email in the spirit it was intended.<br><br><blockquote type="cite"><blockquote type="cite"><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite">But I'm confused, because you say, "Who is going to operate this incubator?<br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite">Who is going to help mentor new spec editors? That is, other than the<br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite">handful of people barely doing it today." &nbsp;Yet you go on to list things that<br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite">would require even more work, and some are better suited for other<br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite">organizations anyway.<br></blockquote></blockquote><blockquote type="cite"><br></blockquote><blockquote type="cite">What other organizations? If the Open Web Foundation isn't the place where all this belongs, tell me where to go instead. Please go point by point over my list and tell me how you think it should be provided for.<br></blockquote><blockquote type="cite"><br></blockquote><blockquote type="cite"><blockquote type="cite"><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite">I am an open specifications developer, a community organizer, and public<br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite">complainer. I have been doing *this* work for 3 years, 2 of which<br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite">professionally.<br></blockquote></blockquote><br>Before I get into a point-by-point analysis, I just want to say Eran's list of support requirements reads like a "why we formed Kantara Initiative" list to me. &nbsp;I know many of you are aware of Kantara's existence, and many of you have taken a "wait and see" approach before getting involved yourselves. &nbsp;Now that we are more than six months into operations it might be a good time to take another look and see what's going on and how things actually happen vs. were forecast to happen (whether it was me forecasting how good it would be, or others forecasting how bad it would be, now you can just see for yourself how it really is).<br><br><blockquote type="cite"><blockquote type="cite">This is what I *need* in the order I need it:<br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite">* Better communication platforms - tools that integrate email, messaging,<br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite">and collaborative tools with specification development process. I want the<br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite">mailing list system to manage CLA signatures. I want the source control<br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite">system to be directly linked to email messages with ideas and contributions.<br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite">Open source is successful to a large degree because of the tools available to<br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite">create it. Until we can tell where changes to a specification came from, just<br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite">like we can do with open source, we are going to be stuck with a primitive IPR<br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite">policy and governance models.<br></blockquote></blockquote><br>Kantara offers Confluence, MailMan, Subversion, BugZilla and Wordpress. &nbsp;It's not the most sophisticated set of collaboration support tools but it seems to be doing the job. &nbsp;If a project would prefer SourceForge or GoogleCode to manage version control, that's fine too. &nbsp;I'm sure we can do better if better is required, we just need to understand those requirements. &nbsp;The good news is that we do have infrastructure budget and competent IT staff to build a system to support the needs of the community. &nbsp;This is a big part of why we were formed.<br><br><blockquote type="cite"><blockquote type="cite"><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite">* Participation - it is surprisingly hard to get people to actually contribute to<br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite">an open community specification. I have the benefit of comparing the quality<br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite">and quantity of feedback received for my community work and my standards<br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite">body work and they don't compare. I actually have to beg now for reviews<br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite">(and still don't get them)! Maybe this is all personal and people just don't like<br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite">me, but I see the same patterns for specs I am not directly involved in.<br></blockquote></blockquote><br>I'm not going to pretend this issues doesn't exist in Kantara either. &nbsp;The old rule still stands: 20% of the participants do 80% of the work. &nbsp;But in Kantara some of the priority projects get additional support from hired contractors, and in general the number of participants across our groups is pretty strong. &nbsp;Here are some links to rosters where you can see how many folks are actively contributing (including having signed-off on IPR agreements up-front... that CLA issue OWF is now starting to tackle).<br><br>Concordia: http://kantarainitiative.org/confluence/display/concordia/Participant+Roster<br><br>Consumer ID: http://kantarainitiative.org/confluence/display/WGCI/Participant+Roster<br><br>eGovernment (Open Gov): http://kantarainitiative.org/confluence/display/eGov/Participant+Roster<br><br>Healthcare: http://kantarainitiative.org/confluence/display/healthidassurance/Participant+Roster<br><br>ID Assurance (Trust Framework): http://kantarainitiative.org/confluence/display/idassurance/Participant+Roster<br><br>IDP Selection (WAYF UX Problem): http://kantarainitiative.org/confluence/display/WGIDPSEL/Participant+Roster<br><br>InfoSharing (VRM): http://kantarainitiative.org/confluence/display/infosharing/Participant+Roster<br><br>WSF Evolution (Oauth Extensions): http://kantarainitiative.org/confluence/display/idwsf/Participant+Roster<br><br>Japan (regional advocacy): http://kantarainitiative.org/confluence/display/WGJ/Participant+Roster<br><br>Privacy &amp; Public Policy: http://kantarainitiative.org/confluence/display/p3wg/Participant+Roster<br><br>Universal Login (UX optimization): http://kantarainitiative.org/confluence/display/ulx/Participant+Roster<br><br>User-Managed Access (Oauth Extensions): http://kantarainitiative.org/confluence/display/uma/Participant+Roster<br><br>(there are others but these have been up and running for awhile)<br><br><blockquote type="cite"><blockquote type="cite"><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite">* Editors - the most labor intensive part is writing the specification, and<br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite">writing it well. It is very hard to find someone to edit open specifications. This<br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite">is why the handful of specs we have is largely written by the same small<br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite">group of people (who are getting busier). We need experienced editors to<br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite">help mentor new ones.<br></blockquote></blockquote><br>In Kantara we still hold to the principle that the primary Editor of a specification or policy framework should be a community stakeholder (volunteer) to help ensure the spec or framework is guided by real requirements. &nbsp;But, we also provide editorial services once a draft is pretty stable. Our professional editors then do a pass to align the document with all the editorial guidelines for consistency, ensuring the legal front-matter is accurate, and making sure the final version is professional-grade. &nbsp;We are in our first cycle now so I don't have a completed doc to show you, though I will shortly.<br><br><blockquote type="cite"><blockquote type="cite"><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite">* Chairs, leaders - someone needs to herd the cats and give communities a<br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite">voice.<br></blockquote></blockquote><br>We have a Leadership Council made up of the Chairs from every group chartered in Kantara. &nbsp;Below is their roster. &nbsp;They have been quite active in getting together by teleconference to keep the cats herded and all systems go. &nbsp;Remember, we formed in April and we already have a number of published drafts, several chartered projects, about two hundred participants, and about a hundred sponsoring members. &nbsp;This didn't happen by accident. The Leadership Council is a collegial and productive group of people I'm proud to work with.<br><br>http://kantarainitiative.org/confluence/display/LC/Roster<br><br><blockquote type="cite"><blockquote type="cite"><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite">* Domains, websites, trademarks - someone needs to own this and manage<br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite">it. I think people need to worry less about OAuth IPR than who controls the<br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite">oauth.net domain name and can point it to a new specification tomorrow<br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite">(perhaps slightly changed). I wrote a new version of OAuth 1.0. Who gets to<br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite">decide if we can replace the existing one with this newer version? Who gets<br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite">to decide if WRAP can call itself an OAuth profile (when it is clearly not<br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite">according to any technical analysis)?<br></blockquote></blockquote><br>Kantara has the administrative resources to manage trademarks, domain registrations, etc. &nbsp;We already have filed trademarks across many countries (which is quite expensive as some of you know) and we manage several domains. &nbsp;The Board of Trustees is responsible for all fiduciary matters so maintaining the integrity of trademarks, domains, etc. falls to them, who delegate the duties to me and my team.<br><br>Legally speaking, we are a Program of the IEEE-ISTO (a 501(c)6) but we operate as an independent non-profit. &nbsp;We also manage a number of other assets, like hubs and routers that we bring to interoperability events, projectors we bring to meetings (to save on AV rentals), etc. &nbsp;We have event management staff to arrange for conference workshop, seminars, etc. &nbsp;We have a "speakers bureau" to help place community members on the agenda of relevant conferences around the world, etc. &nbsp;We have an analyst relations program and PR team to support the work that comes out of Kantara (their job is to market the work product of the community, not to market the organization itself which would explain how little "hype" you've seen from Kantara -- this email being the exception that proves the rule). &nbsp;<br><br><blockquote type="cite"><blockquote type="cite"><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite">* Open Source libraries - we are extremely poor in resources for writing<br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite">quality libraries implementing these specifications. The majority doesn't even<br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite">have a reference implementation or a comprehensive test suite. The main<br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite">reason why people started working on alternative solutions to OAuth was<br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite">that the crypto was hard and the libraries did a poor job at removing the<br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite">need to do it. It was actually easier for those involved to write a new spec<br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite">than to write quality open source libraries.<br></blockquote></blockquote><br>Kantara Initiative funds community projects proposed through the Leadership Council. &nbsp;This could be any form of request that's going to help the Open Web. &nbsp;One example we recently approved was a modest bounty for an implementation of the UMA Oauth extension that would be used as an online test harness of sorts. &nbsp;In fact, the 2010 budget includes more than $150K in project funding in response to "bottom-up" proposals from the community to the Kantara Trustees.<br><br>http://kantarainitiative.org/confluence/download/attachments/4292729/2010+Budget-Approved+05NOV09.pdf<br><br><br><blockquote type="cite"><blockquote type="cite"><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite">*Governance models, documentations and guides, demos and experimental<br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite">sites, and on and on...<br></blockquote></blockquote><br>Governance, governance, governance. &nbsp;This was our focus for most of 2009 and we now have all our governance documents in version 1.1 with several tweaks to meet the needs on the ground. &nbsp;I'm quite pleased with how the governance piece has turned out and I'm confident that anyone here who investigates this aspect of Kantara will find it acceptable if not ideal (personally I think it's closer to ideal, but that's my bias having contributed extensively to the governance model). &nbsp;Bylaws and other policy docs are online here:<br><br>http://kantarainitiative.org/confluence/display/GI/Home<br><br>Another project we funded is for the Universal Login eXperience Work Group to hire usability experts and designers to mock-up some new federated login flows for OpenID, InfoCards, and SAML authentications (btw, we ourselves run a multi-protocol RP). &nbsp;Those are underway now, focused on NIH use-cases (that US Government Open Identity for Open Government project Eran alluded to), and should be on our web site in a few weeks.<br><br>Another thing we are spinning up now is an interoperability program that will help accelerate the maturity of implementations and refine specifications through interop testing and even software certification (for the more mature specs).<br><br>Along with Interoperability testing and certification (to launch in 2010) we have Assurance certification for IDP's to prove they comply with OMB 0404 (via the Service Assessment Criteria in the Identity Assurance Framework). &nbsp;I mention this because it is a tool to build trust in Relying Parties and facilitate adoption. &nbsp;I also mention it to point out that all such certification programs we run will have direct oversight from volunteer "Review Boards". &nbsp;So far we have:<br><br>Assurance Review Board with folks from: US GSA, Aetna, KPMG, SUNET, and BT<br>Interoperability Review Board with folks from: US GSA, NTT, Oracle, CA, Google, and Internet2<br><br><br><blockquote type="cite"><blockquote type="cite"><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite">I am an open community specification developer. Literally every day I get an<br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite">email or message asking me how come this or that specification isn't finished<br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite">yet (after more than a year). This is what I need and the OWF is not helping<br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite">me. At least not yet.<br></blockquote></blockquote><br>You can get a lot of what you are looking for from Kantara Initiative. &nbsp;I'm not sure if you didn't know that or if there is something about Kantara that is off-putting. &nbsp;If there is a barrier to leveraging the support we offer, PLEASE let me know and I will address it!<br><br><blockquote type="cite"><blockquote type="cite"><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite">If it is not the job of the organization called the Open Web Foundation to<br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite">help me with this list, and it clearly doesn't have the resources to do any of<br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite">this now, what's the point?<br></blockquote></blockquote><br>One job Kantara Initiative is not working on is the development of new IPR Policies. &nbsp;We allow for several different IPR Policies and anyone can propose a new one be adopted at any time. &nbsp;This is why I'm involved in OWF. &nbsp;We have discussed adding a Non-Assert Covenant to our list of IPR Policies and I've been hoping that what came out of OWF would be a good fit. &nbsp;But our approach will continue to be "options" for IPR on a group-by-group basis. &nbsp;This would allow a handful of folks who want to be very inclusive to pick a very inclusive license, and others who want narrow "necessary claims" grants can pick something like OWFa.<br><br>Again, I apologize for this "commercial" and I would have never posted something like this to the list if the Chair hadn't asked the questions that prompted my response.<br><br>-- Brett<br><br></div></blockquote></div><br></div></body></html>