 Also ich erzähle mal ein bisschen was allgemein über OWASP. Ich mache morgen auch noch zwei Vorträge. In einem geht es um ein konkretes Projekt dann, das sehen wir nachher auch kurz. Und ansonsten ist da noch ein zweiter Security Vortrag, der hat aber nicht direkt was mit der OWASP zu tun. Okay, was heißt das jetzt eigentlich? So Open Web Application Security Project. Vor einer ganzen Weile, ich glaube 13 Jahre, haben sich so ein paar Leute überlegt, das kann nicht mehr so weitergehen, wie es ist. Und dieses Projekt ins Leben gerufen ist quasi auch ein NGO. Es ist US-Based, deswegen sind da aber inzwischen gibt es weltweit Chapters. Und genau, was ist OWASP jetzt? Also eine Community, die sich mit, aber mit einem bestimmten Fokus von IT-Sicherheit, nämlich Web Anwendung und den Betrieb von solchen Sachen beschäftigt und da nicht nur Technik, sondern halt auch Tools und Dokumentationsprojekte bereitstellt, die von allen frei genutzt werden können. Und selber auch Veranstaltungen, also Konferenzen betreibt, worüber sich das Ganze am Ende des Tages auch finanziert. Weil, genau wie die Veranstaltung hier, OWASP lebt quasi von freiwilliger unentgeltlicher Mitarbeit. Und das ist auch eine gute Chance, wenn man sich in dem Gebiet weiterentwickeln will, wenn man da einfach mitmacht. Weil es gibt hier Statistiken, die sagen, dass 94 Prozent denken, wenn man im freiwilligen Projekt mitmacht, dass die Qualität, also auch am Arbeitsplatz wieder zugutekommt. Oder 58 Prozent sagen, dass man da auch Erfahrungen sammeln kann, die man am Arbeitsplatz oder in der Uni oder woanders nicht sammeln kann. Das kann sicherlich jeder bestätigen, der sich schon mal freiwillig engagiert hat. Auch in anderen Sachen, nicht IT-Sachen, das ist ja unabhängig davon. Genau, oder dass halt auch der Arbeitgeber Zeit dafür eingeräumt, weil er wieder was zurückkriegt. Genau, was hat man davon mitmacht? Man lernt auf jeden Fall das. Und man kann diese Projekte, es sind eine ganze Menge, ich werde nicht alle erzählen. Ich zeig nachher auch ein paar auf den HTMS in so zur groben Orientierung, es sind ungefähr 200 Stück oder so. Die einen sind halt ein bisschen aktiver, die anderen sind nicht so aktiv. Also es gibt viel zu tun, wir freuen uns auch immer, wenn noch mehr Leute mitmachen. Wie das geht, zeig ich nachher noch. Genau, wer ist denn schon bei der OWASP aktiv? Keiner, wer kennt OWASP überhaupt? Okay, fast die Hälfte, die jetzt hier sitzt. Macht jemand schon aktiv in einem Projekt bei der OWASP mit von den Leuten hier im Raum? Keiner, ja, schön. Also wisst ihr, was er nachher alles macht? Wer arbeitet schon und hat mit IT-Sicherheit zu tun? Okay, gar nicht so viele. Wer arbeitet für die Regierung? Ja, wird sich jetzt auch nicht outen, ist schon klar. Wer ist Entwickler? Okay, wer ist Architekt? Also Software-Architekt? Was haben wir denn noch? PEN-Tester, gibt es PEN-Tester hier im Raum? Die langweilen sich wahrscheinlich gerade ein bisschen, ich hoffe nicht zu sehr. Das wird dann morgen, das ist auch so ein Grundlagenvortrag. Was haben wir hier noch? CIOs? Genau, okay, dann machen wir weiter. Wie lange gibt es das schon seit 13 Jahren, wie gesagt? Schon eine Weile her und die Frage ist, wie das in, sagen wir mal, 7 Jahren aussieht, wenn es dann 20 Jahre alt ist. Schauen wir mal. Genau, was sind die Grundlagen von diesem Projekt? Oder wo kommt der ganze Output her, den man da nutzen kann? Ja, alles, was Overs macht, auch die ganzen Konferenzen, auch alle Vorträge, alles leistet, das ist immer alles verfügbar, es ist immer frei zugänglich. Das ist ein Grundsatz von dem Ganzen. Ihr könnt ja auch nach der Appsec suchen, da gibt es eine Appsec EU, Application Security heißt die Konferenz und es gibt eine US-Version, findet jeweils jährlich statt und alle Slides Vorträge werden da auch aufgezeichnet, so wie hier, man kann sich das dann auf YouTube oder halt die Slides einfach anschauen und benutzen auch die ganzen anderen Materialien. Die Overs Top 10 ist wahrscheinlich so das bekannteste, wenn man im Webumfeld unterwegs ist, alle sollen sich da immer dran halten. Das ist aber nur eines von vielen Projekten und Möglichkeiten, die Overs bereitstellt. Innovation, es sind viele Leute auch aus der Industrie hier aktiv, wir sehen das nachher noch so, als in ein paar Zahlen auch viele Unternehmen unterstützen das aktiv, Google, Microsoft und so weiter, die arbeiten damit oder bringen auch eigene Ideen ein. Es ist inzwischen, wie gesagt, es zwar in den USA entstanden, aber inzwischen eine globale Organisation und es gibt in jedem Land, in jedem Land der Welt wahrscheinlich nicht, aber in vielen Ländern gibt es quasi sogenannte Chapter und darüber kann man dann auch leicht in Kontakt mit den Leuten treten. Und Overs, wie an diesem sehr bekannten Top 10-Projekt, ist halt auch inzwischen eine etablierte Ressource, wenn es um IT-Sicherheit in Webumfeld oder im Internet geht oder auch, wie man bestimmte Dinge tun kann oder soll. Genau, kommen wir mal zu den Nummern, zu den Zahlen. Das ist hier so ein bisschen zu veranscheiden. Also inzwischen gehen da 2,6 Millionen Menschen, die zahlen ich glaube ich auch noch von 2015, inzwischen sind es wahrscheinlich mehr. Um das ein bisschen in Relation zu setzen, in 2013 war es die Hälfte pro Monat, die sich dort Informationen geholt hat. Dann sieht man auch hier, das sind die Uniquizzitas, in 2013 waren es nur 400.000. Also massiv, es zeigt halt auch die Reputation, die hinter den Dingen, die die Menschen da machen, steht und das ist quasi der de facto Standard in vielen Bereichen inzwischen. Hier sieht man nochmal die Zahl, das ist jetzt von 2015 März, 126 aktive Projekte, es gibt auch so ein paar, das ist halt alles freiwillig, einer fängt ein Projekt an und dann macht es keiner weiter, dann stirbt es halt. Das kann man dann auf der Webseite sehen. Es gibt so drei Kategorie, das zeige ich nachher auch nochmal kurz, es gibt so eine Flagship Kategorie. Da waren 2015 drei drin, das sind inzwischen auch mehr, das sind glaube ich neun jetzt, das sind quasi etablierte, langlaufende, stabile Projekte, die auch entsprechende Support haben, durch genügend viele Menschen, die dahinter stehen. Dann gibt es eine Labs Kategorie, da waren hier 26 drin, als aktiv. Und dann gibt es noch ein Inkubator, das so viele neue Projekte, wenn jemand was Neues anfängt. Das kann eigentlich jeder sagen, ich will mal ein Projekt machen, muss man einfach mal das Wort anschreiben und dann geht das eigentlich ganz einfach. Genau, hier sieht man 268 aktive Gruppen, die sich, also die OVAS-Themen erzählen oder halt auch an Projekten arbeiten und die Aktivsten sind halt die Europäer und die US. Eine AppSec, Asia gibt es auch ab und zu, aber das ist noch nicht so etabliert. Ja, dann kannst du ja was dranheben. Ja, das hat vielleicht auch politische Gründe, weiß ich nicht, aber das ist halt der Stand, der ist glaube ich sogar von 2013, also das ist nicht ganz aktuell, aber man sieht, es gibt eine ganze Grünlande, da ist auch noch so ein bisschen, ja. Kanada ist auch, hier sind hier unten, das ist glaube ich, kanadische Bubbles. Wo sind die Linien da? Genau, weil die wichtigen Städte in Kanada liegen ja all im Süden, die sind eine andere Grenze, das sieht man jetzt auf der Karte so nicht. Ja, das sind jetzt subscribed people auf OVAS-Mailing-Listen, ja, keine Ahnung, ob das jetzt was Besonderes bedeutet oder nicht, aber also da sind eine Menge Leute aktiv. Es gibt, also es wird halt viel genutzt. Ja, da kann man jetzt alle möglichen, auch das SANS, was ja auch eigene Sachen hat, also alle möglichen Center aufzählen, ja, Emergency Response Center, die Material zu OVAS beisteuern oder selber nutzen oder sich auf diese etablierten Standards beziehen. Also da kann man jede Menge Sachen aufzählen, das kann man auch selber recherchieren, das ist glaube ich nicht so spannend. Es gibt auch Universitäten, die aktiv, es ist halt oft an den Tools, arbeiten oft Universitäten oder auch Unternehmen mit, weil sie die selber nutzen. Man kann halt auch Mitglied werden, um die Organisation zu unterstützen durch den Mitgliedsbeitrag, man hat quasi keine Benefit, außer dass die Konferenzen ein bisschen preiswerter werden, nämlich genau um den Mitgliedsbeitrag. Genau, es gibt halt wie gesagt auch Unternehmen, die sich aktiv beteiligen und das ein bisschen grundmitfinanzieren. Und dann gibt es 2.268, aber wie gesagt, das ist von 2013 inzwischen, sind es glaube ich ein paar mehr, Mitglieder, die das noch so ein bisschen unterstützen durch ihre eigene Mitgliedschaft. Wer leitet den ganzen Kram eigentlich? Oder wer ist so die Hauptansprechpartner? Das sind meistens Leute, die irgendwo in der Street tätig sind. Ich glaube, der Tobias Gondron ist seit ein Jahr CIO von Huawei. Und der macht halt auch viel in der Richtung. Von den anderen weiß ich jetzt nicht genau, was die machen, außerdem Jim Manico noch. Der hat mal White Hat Security, war der mal mit involviert, da rausgegangen. Also das sind Leute, die sind meistens in der IT-Sicherheitsbranche unterwegs oder in Unternehmen und machen, weil ihnen langweilig ist, machen sie hier noch ein bisschen mit. Das ist ja auch alles ein bisschen Arbeit. Genau. Was gibt es so für Dinge zu tun? Ist ja nicht immer alles schön und gut, sondern auch OWASP. Ich habe gesehen, es gab dann haufen Projekte, die irgendwie organisiert werden, man muss die am Leben halten, man muss neue Leute ranholen. Vielleicht findet sicher der ein oder andere, der das spannend findet und damit machen will. Und hier geht es halt auch darum, wie kann man zum Beispiel die Materialien, die existieren, zum Beispiel für Trainings, also dass sie leicht wiederverwendet werden können von Leuten, die jetzt nicht unbedingt eine Schulung in den Material bekommen haben, wie man die Chapter, also die lokalen Gruppen stärken kann, organisatorisch oder auch finanziell. Und wie man diese Flexchip-Projekte oder die etablierten Projekte auch dauerhaft am Leben erhält und sie auch eine höhere Aufmerksamkeit bekommen, außer wirklich diese Top-Ten, die jeder kennt. Ich zähne ja noch ein paar andere auf. Gibt es halt doch noch eine ganze Menge andere Sachen und auch die sind wichtig und relevant. Genau. Das haben wir hier, Voluntier, Engagement, machen wir mal die. Genau, also es ist wichtig. Es lebt genau wie die EPN auch von der Mitarbeit, von euch vielleicht. Genau. Nur mal ganz grob, das sind so ein paar Zahlen von 2014, was da ausgegeben wird. Der Hauptteil geht halt für die Konferenzen und lokale Events drauf. Wenn Speaker unterstützt werden, aber meistens ist das alles, kriegen die kein Geld, vielleicht eine Entschädigung fürs Hin- und Herfahren. Oder es ist halt einfach lokal organisiert. Genau. Und der Rest, das ist gar nicht so wahnsinnig große Zahlen und in Summe lebt das ganze Ding von 1,7 Millionen im Jahr. Davon geht aber der Großteil für die Organisation und die Durchführung von den Konferenzen drauf. Wo kommt jetzt das ganze Geld her von den Konferenzen? Weil die sind ein bisschen teurer, vor allem nicht wie hier. Da kommt halt das meiste Geld rein, dann noch die Corporations. Und ansonsten die Einzelmitgliedschaften machen jetzt nicht so viel aus. Aber das finanziert sich auch so ein bisschen wieder in Tropia, die GPN. Die trägt sich halbwegs selber und dann bleibt noch ein bisschen was über für den Verein fürs Jahr. Und so ähnlich funktioniert das hier im Prinzip auch. Genau. Die haben eigentlich nur acht Angestellte, die sich in Vollzeit oder Teilzeit noch ein paar organisatorische Dinge kümmern, die man rein... Das ergibt es halt primär um Konferenzorganisationen, die man halt in reiner Freizeit in der größten Ordnung dann nicht immer hinkriegt. So, wie kann man jetzt mitmachen? Ich habe das ja schon so ein bisschen angedeutet. Also es gibt diese Localchapter, es gibt zum Beispiel auch eins in Deutschland, Überraschung. Und dann gibt es aber neben diesem Chapter, gibt es auch noch, wie hier in Deutschland nennt sich das Stammtische, die treffen sich mehr oder weniger regelmäßig. In Karlsruhe gibt es auch einen. Genauso wie es Usergroups zu einem möglichen gibt, ein Overs-Stammtisch in Karlsruhe. Der trifft sich monatlich, erste Dienstag im Monat. Und da könnt ihr einfach mal vorbeischauen, wie ihr das habt. Es gibt eine Mailingliste und eine Website. Über die Mailingliste ist es sicherer, die Website ist nicht immer aktuell, das Wiki. Und das ist an unterschiedlichen Orten, es gibt jetzt keinen festen Platz. Es hängt so ein bisschen von den aktiven Leuten ab. Das ist oft bei 1&1 oder bei SAP Research. In der Nähe vom Campus. Oder auch mal da, wo ich arbeite. Und dann geht man hinterher noch ein Bier trinken. Und irgendwer erzählt was Schönes. Oder man bespricht auch... Jetzt im Juni ist in Rom wieder die EPSAC EU. Und dann erzählen zum Beispiel zwei Leute ihren Vortrag da schon mal vor. Das verbessern die Flächen ein bisschen. Oder jemand erzählt von der Konferenz vor, ein paar Sachen oder was Eigenes. Genau, und neben diesen lokalen Aktivitäten, wo man sich einfach über aktuelle Themen austauscht, kann man sich auch direkt an den Projekten beteiligen. Kannst du auf der Mailingliste subscriben. Jedes Projekt hat in der Regel ein Lied. Den kann man auch anschreiben, per Mail oder Java. Oder was auch immer der da angegeben hat, Twitter. Und sich da einbringen, wenn ein so ein Projekt interessiert. Es gibt 126 aktive Projekte. Kann man sich was aussuchen. Ob man lieber Kot schreiben will. Oder ein Tool bauen möchte. Die Nenner ist ein Dokumentationsprojekt. Ach so, das habe ich noch gestehen. Oder eher so in der Dokumentationsschiene. Was dann immer so in Dokumentation bedeutet, quasi Guidelines, Trainingsmaterial. Das fällt in die Dokumentationskategorie. Wie gesagt, die Projekte sind in drei Typen aufgeteilt. Flagship, Lab und Inkubator. Und ich gehe gleich mal auf die Seite und zeige das dann mal grob. Was ein paar Beispiele für Flagship Projekte ist, einmal diese Top 10-Liste, also diese Findings, die immer noch irgendwie die gleichen sind seit zehn Jahren. Selbst Secret Injection ist immer noch irgendwie auf Platz 2 oder 3 vom Risiko her. Man fragt sich, wieso? Wir haben 2016, alle Programmiersprachen können parametrisierte Abfragen machen. Es gibt gar keinen Grund, dass es noch so ist. Ja, aber da rede ich morgen drüber. Und zum Beispiel dieser Attack Proxy, das ist ein Beispiel für ein Tool, was von OWASP oder Menschen da entwickelt wird und weiterentwickelt wird, was aber halt schon relativ lang existiert, was also hilft, solche Sachen zu finden. Und auf der anderen Seite ein Beispiel für Code. Ja, Code habe ich schon vergessen, Code gibt es auch noch. Das ist ein Mode Security Core Rule Set. Also Mode Security ist kein OWASP Projekt. Das ist ein Apache Projekt. Aber das Standard Rule Set, was man benutzen könnte, ist halt wiederum ein OWASP. Warum fällt das in Code? Konfigurationen, Regeln ist auch Code. Und dann noch mal was ganz anderes, was viele vielleicht noch nie gehört haben, was ich aber auch ganz spannend finde, ist soft. Ich müsste euch immer das Wort OWASP davor denken. Das sage ich so weg. Das ist also OWASP Set Attack Proxy, OWASP Mode Security Core Rule Set Project. Und dann gibt es halt auch das OWASP Software Assurance Majority Model Project, Code SAM. Das finde ich halt auch ein ganz spannendes Projekt, was viele nicht kennen. Da geht es darum, was muss man eigentlich organisatorisch noch alles tun, außer sich in den Code schreiben. Das ist einer von 12 Aspekten, der da drin abgedeckt ist. Wie zum Beispiel Leute trainieren, dass sie vernünftigen Code schreiben können. Oder halt auch andere Dinge, die sind da abgedeckt. Das finde ich ganz spannend. Aus der Labs-Ecke, also das sind wirklich nur so Ausschnitte. Und man kann da zu jedem von den Stichpunkten, die da drauf stehen, sicherlich länger als eine Stunde reden. Aber es sind mal so Stichworte. Die O2-Plattform hat nichts mit der Telefongesellschaft zu tun. Sondern das ist eine Skript-Plattform, die ist fischartbasiert. Mit der man auch Dinge testen, laufen lassen kann. Ist für euch manchmal ein sehr, sehr spannendes Tool. Kann man alles Mögliche mitmachen. Was wieder so aus der Dokumentations-Ecke kommt und auch in die Trainings- und Schulungsecke fällt, sind halt diese Cheat-Cheats. Das heißt, da ist meistens auf einer Dennavier-Seite zusammengefasst, wie kann man auch diese Top-10-Geschichten anders machen? Also was kann man tun, damit man das Problem nicht hat? Das ist ein guter Einstieg, es ist sehr komprimiert. Und man hat da einen leichten Überblick. Das gibt es zu allen möglichen Themen, aber das ist halt ein Projekt, wo das zusammengefasst ist und weiter getrieben wird. Dann gibt es das relativ Neues. Da mache ich morgen ja noch ein extra Vortrag drüber, die Proactive Controls. Da geht es genau darum, ja, alle haben immer diese Top-10-Liste und das will man nicht in seiner Anwendung haben und jenen ist nicht. Und wie kommt man da jetzt eigentlich hin? Und das ist der Versuch zu sagen, okay, zu jedem dieser 10 Punkte auf der Liste kann man, hat auch ein bisschen mit den Cheat-Cheats zu tun, eigentlich um was geht es da und auf was muss eigentlich der Code erachten, weil letztendlich ist es immer eine Line of Code, die am Ende das Problem macht oder nicht hat. Und dann gibt es auch Mobile Security, spannendes Feld. Wir machen jetzt wieder alle Fehler nochmal, die wir schon vor 10 Jahren im Web gemacht haben und vor 20 Jahren auf dem Desktop. Eine mobile Anwendung ist nichts anderes als eine Desktop-Anwendung am Ende des Tages. Nur, dass sie woanders läuft. Aber irgendwie wiederholt sich das immer alles in Zyklen und alle lernen das immer wieder neu. Und das sind so ein paar Tuits, die versuchen das aufzugreifen und bereitzustellen. Das waren jetzt schon die Folien. Und jetzt gehe ich mal noch ein bisschen auf die Seite, weil das ist so ein Media Wiki, das ist auch ein Thema, die Plattformen anzupassen, in der die Informationen präsentiert werden, weil das ist auch nicht mehr ganz so up to date. Es ist also immer so ein bisschen unübersichtlich. So, mit was fangen wir an? Welcome to OWASP, Klingon. So, genau, also, ja, super. Das ist die Startseite, wenn man OWASP.org, falscher Fehler, wenn man OWASP.org aufruft, ein bisschen unübersichtlich. Deswegen habe ich mal so ein paar Links schon rausgesucht, hier links hat man so eine Kurve orientieren, dann gibt es diese Chapters zum Beispiel, da kann man dann schauen, ah, da gibt es eins in meinem Land. Und dann gibt es hier auch diese Projekte, so ein bisschen versteckt, alphabetisch sortiert. Und hier auf der Einstiegsseite hat man schon mal so ein bisschen diese Flagship-Projekte, die tauchten hier oben auf. Seht ihr hier die Top 10, das Rohsset, Testing Guide gehört auch zum Flagship App Sensor, ein Development Guide, der ist relativ dick, mühsam zu lesen. Also hier hat man so einen gewissen Einstieg, wenn man weiß, dass er da ist. Es gibt auch eine Bautseite. Genau, da sind noch mal die Leute, die gerade so sich dafür verantwortlich zeigen. Ja, wie ist jetzt nicht so spannend. Die Chaptersite ist dann halt schon spannender, da kann man dann halt so ein bisschen sortiert nach Regionen der Welt, sich dann angucken, ob es auch was schon eingibt. In Europa sind fast alle Länder vertreten, wahrscheinlich jeden, ein, zwei, weiß ich nicht genau, ich habe es nicht gecheckt. Und dann kommt man auch auf die deutsche Seite. Die ist dann sogar auf Deutsch. Und da gibt es auch ein Board, da wollte ich mal hinschauen. Das wird sich schon unterstützt. Und zwei von den Leuten könnte auch direkt in Karlsruhe finden, den Kai Jendrian und Martin Jones. Der ist bei SAP Research, wo der Kai ist, weiß ich jetzt gerade nicht. Ich glaube, der ist bei uns. Ich bin jetzt nicht sicher, müsste mal nachgucken, steht hier, wenn man hier draufklickt, kann man es nachlesen. Anni, da ist die E-Mail-Adresse. Und die organisieren die Aktivitäten in Deutschland. Da gibt es auch immer so ein Overspade. Einmal im Jahr. Und diese APSEC EU, die rotiert durch die europäischen Chapters vor drei Jahren, 2013 war sie in Hamburg. Jetzt ist sie in Italien, in Rom dieses Jahr. Und wo es nächstes Jahr steht, glaube ich, auch schon irgendwo, das habe ich hier vergessen. Aber das ist also ganz einfach, mit den Leuten in Kontakt zu kommen. Zwei von denen sind hier. Ansonsten schreibt man denen einfach niemand sagt, ich habe das alles nicht verstanden, was der ICHI erzählt hat. Wie geht das jetzt, wenn ich ein Projekt machen will? Oder was anderes? Also das ist so die Organisation. Dann gibt es hier diese Stammtischseite. Wie ihr seht, die ist nicht ganz aktuell. Also es gab inzwischen schon noch ein. Und der nächste ist auch geplant. Der steht da nur nicht drauf. Der ist jetzt nicht nächsten Dienstag, sondern den übernächsten Dienstag, weil die zwei den Vortrag machen, also nicht am ersten, sondern am zweiten Dienstag. Deswegen ist es besser, auf die Mailingliste zu gehen, dies aktueller. Also da kommt die Ankündigung drüber. Es gibt eine Mailingliste für Karlsruß, gibt auch eine für Deutschland. Meistens werden die Ankündigungen für die lokalen Stammtische auch immer auf der deutschen Mailingliste gepostet. Es gibt auch einen in Frankfurt. Der ist nicht so weit weg. Die anderen sind alle ein bisschen weiter weg. Der ist sehr aktiv, der relativ aktiv ist. Da kann man sich aber einen guten Einblick holen. Jetzt habe ich hier noch aufgemacht. Genau, also da kann man schauen, da kann man auch schauen, was gibt es noch für Stammtische in den einzelnen Städten. Es gibt dann relativ, naja, viel, das ist alles relativ. Aber es gibt einige in Deutschland. Genau, und auch ein Jahr. So, dann ziehe ich mal hier noch die Projekte ein bisschen rüber. Genau, wer kann ein Projekt starten? Alle, jeder, der Lust auf ein Projekt hat, kann einen starten. Es gibt auch meistens, wenn man alleine ist und nicht so viel supportert, dann macht man mal was, sondern liegt es darum, es gibt für das ASVS, Application Security, Verification, Standard, gibt es ein PHP-Tool, das hat man jemand vor drei oder vier Jahren geschrieben. Das liegt auch auf GitHub rum und seitdem ist dann nichts mehr dran passiert. Das ist quasi so ein totes Projekt. Aber kann man auch machen, dann fragt man dann mal, darf ich da oben was draufkleben, weil ich das für die Community machen will, geht alles. Also einfach machen, einfach mal Kontakt machen, sagen, ah, ich habe es gut. Oder bei einem der existierenden Projekte mitmachen. Hier sieht man auch noch mal, was hat die Organisation so vor? Gibt es jedes Jahr eine lange Liste? Manches wird fertig, manches nicht. Sieht ihr 2015, gab es drei verifizierte Flexi-Projekte. Da hat man damit angefangen, diese Projekte so ein bisschen zu kategorisieren und auch zu verifizieren. 2015, 2012. Also die, die als etabliert gelten und ihr seht, die sind auch so ein bisschen kategorisiert nach Tools, nach Code und nach Dokumentation. Und da gibt es alles mögliche. Manche sind umfangreicher, manche sind ein bisschen übersichtlicher. Genau, jetzt wird die Liste schon furchtbar lang. Genau. Und auch wenn ihr eines von den Tools benutzt, denkt halt drüber nach. Beteiligt euch vielleicht mit, wenn ihr wissen, 2 Stunden und oder einfach die Wikiseite zum Projekt fliegen oder solche Sachen. Ich gehe auch gleich mal auf eins der Projekte drauf. Und dann gibt es halt noch den Inkubator. Also alles, was irgendwie so neu ist. Also Hacking-Lab und es gibt alles, ja, alles mögliche und unmögliche und das ist auch immer die Cheat-Cheats und so weiter. Es wird natürlich versucht, alle Programmiersprachen abzudecken oder die Major-Programm-Miersprachen abzudecken und halt auch übersetzen in die verschiedenen Sprachen, weil es ist natürlich immer auch ein Problem. Klar, wir sind es gewohnt irgendwie englisch zu lesen, aber trotzdem geht dabei Information verloren und wenn man es in der eigenen Muttersprache lesen kann, ist es immer besser oder hilfreicher, um es besser verstehen zu können. Also man kann auch einfach mal was auf Deutsch übersetzen, was nur auf Englisch existiert. Das wird auch schon helfen. Genau, ihr seht, es gibt hier 1000 Sachen und das wo ich morgen auch noch ein bisschen rede. Die haben halt alle dann so eine Art Übersichtsseite, diese Projektseiten. Hier sieht man dann die Project-Lieder. Die kann man einfach kontaktieren. Hier ist noch eine Übersichtsseite oder eine E-Mail schreiben. Genau, und dann ist hier so beschrieben, was macht das Ding? Es gibt hier meistens noch so Tabs. Er sieht, das ist mit dem Media Wiki und so alles nicht mehr so richtig schön. Und das will man dieses Jahr auch ein bisschen verbessern, die ganze Situation an der Stelle. Ne, ich glaube, das steht noch nicht, da kann jetzt vor ein paar Tagen die E-Mail rum, dass das nicht mehr schön ist. Und hier oder dass man da was dran tun möchte. Aber kannst du gerne fragen. Also ich glaube, da stand noch nicht drin, was auf was es gewechselt werden soll, wenn ich es richtig in Erinnerung habe. Genau, jetzt ist noch Zeit für Fragen und Anmerkungen. Ja, ich wiederhole die dann auch nochmal für den Stream. Genau, also es war jetzt einfach so ein kleiner Überblick, ein Einblick, was ist das eigentlich, wo kommt das Zeug her, was daraus putze, letztendlich von den Leuten, die es machen. Da ist jetzt keine Dachorganisation in dem Sinne drüber, sondern halt einfach die, die aktiv sind. In dem deutschen Chapter, die acht, die da stehen, das sind auch nur die, die da stehen, weil die immer was tun. So wird man botten, wenn man hebt dann auf dem Oversplay die Hand und sagt, ja, ich flicke jetzt das Wiki. Schon hat man gewonnen oder verloren. Also das hat irgendwas mit Arbeit zu tun, wenn man da drauf steht, weil da kommen ja Anfragen rein, man muss die beantworten, irgendwie sich ein bisschen in der Organisation betätigen, genau. Und genau wie Alana-Projekte, die auf freiwilligen Basis arbeiten und etabliert sind, braucht auch Overs immer ein neues frisches Blut, das mithilft und unterstützt, genau. Und deswegen habe ich mir gedacht, ich erzähle mal so ganz grob, was das eigentlich ist und wie man mitmachen kann. Und das ist relativ einfach, genau. Jo, gibt es Fragen, das war zum Beispiel auch ein Problem, dann habe ich auch so vor ein paar Tagen gesagt, gibt es eigentlich so ein schönes Leitdeck über Overs, gibt es nicht. Also bis auf dieses Zahlen-Ding, was immer in den Konferenzen dann am Anfang, aber die Leute kennen halt Overs meistens schon, die kriegen dann halt, ja, wie viel haben wir denn gerade so aktuell. Auf der ersten Seite war auch noch das Kolosseum drauf, das habe ich mal rausgemacht. Aber das ist so das Leitdeck, das da hängen. Wir müssen ja auch mal irgendwie schöner machen, weil irgendwie ist es auch schwierig, so einen Überblick zu kriegen, wenn man auf die Webseite geht. Das ist ein richtig schöner Überblick. Und deswegen dachte ich, ich erzähle das mal so ganz grob, komprimiert. Wenn man da so ein Tool benutzt, das gibt ja noch mehr, außer die ich auf den Set hat oder die ich jetzt hier gerade auf der Liste gesehen habe. Einfach reingucken und unterstützen. Ja, danke.