<div dir="ltr"><div>I definitely see your point about writing the .NET version of WebGoat...of course it&#39;s designed to be flawed, haha. ;-P I just thought of something else too. When I got my GSNA it was back when SANS/GIAC was still requiring a research paper rather than having it be optional for an extra gold star. They obviously figured out some way to grade these papers. Is anyone from SANS on this list? I wouldn&#39;t want people who failed to automatically start ranting about a lack of objectivity...</div>

<div>&nbsp;</div>
<div>Matt<br><br></div>
<div class="gmail_quote">On Fri, Jul 25, 2008 at 10:23 PM, &lt;<a href="mailto:james@architectbook.com">james@architectbook.com</a>&gt; wrote:<br>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">
<div>Several thoughts:<br><br>1. For the record, I think we need to test above and beyond the OWASP Application Security Desk Reference Project. While it is over 1K pages, I still think it is incomplete.<br>2. I think it is safe to assume that most IT folks internationally or even next door just plain suck at written communication. This is a historical problem ever since we were called data processing.<br>
3. In terms of essays, I think there is no need to worry. The last time I visited HR, I asked for a count of the number of languages spoken by my IT peers and at last count it was 43 distinct. During the day, I run around being enterprisey and don&#39;t have any issues with voluntelling some of my peers that they are now official OWASP reviewers. Folks from Microsoft, Oracle, IBM probably have counts even higher. So, the action item I guess is to noodle how to get country diversity into the mix. The problem you describe usually doesn&#39;t occur in the America&#39;s or Europe and could be isolated to Asian &amp; African countries.<br>
4. I would actually say that one form of waiver from writing comprehensive documentation is to instead deliver working software. If someone who can&#39;t write a lick of English but decides to mercilessly contribute to writing the .NET version of WebGoat most certainly understands web application security...<br>
<br>
<blockquote style="PADDING-LEFT: 8px; MARGIN-LEFT: 8px; BORDER-LEFT: blue 2px solid">
<div class="Ih2E3d">-------- Original Message --------<br>Subject: Re: [Owasp-cert] Deadlines for August<br></div>
<div class="Ih2E3d">From: &quot;Matthew Chalmers&quot; &lt;<a href="mailto:matthew.chalmers@owasp.org" target="_blank">matthew.chalmers@owasp.org</a>&gt;<br>Date: Fri, July 25, 2008 10:18 pm<br>To: &quot;Gary Palmer&quot; &lt;<a href="mailto:owasp@getmymail.org" target="_blank">owasp@getmymail.org</a>&gt;<br>
Cc: <a href="mailto:owasp-cert@lists.owasp.org" target="_blank">owasp-cert@lists.owasp.org</a><br><br></div>
<div dir="ltr">
<div class="Ih2E3d">
<div>I like the idea of understanding in multiple distinct areas, kind of like domains in a &#39;CBOK&#39;. I also like the idea of being able to redo pieces (after a certain amount wait time maybe) if we do go with some formula that gets you a higher level. For example if there are five domains...five exams maybe...we say you have to get at least x% in each to be a &#39;master&#39; but if you do great on four of them but only average on the 5th, you&#39;re not a master until you retake that 5th part and get the minimum qualifying score. It&#39;s an idea anyway.</div>

<div>&nbsp;</div>
<div>I&#39;m not so sure about the essay. I like essays and fill-in-the-blank in general, however, we&#39;re talking about a very wide audience, much wider than that of the CBEST. People who will want (and may deserve) an OWASP cert will not necessarily speak English, not necessarily have good written communication skills, etc. We&#39;re not testing those things, we&#39;re just testing...whatever we&#39;re testing relating to web application security. ;-) Also, if we grade tests rather than a third party like VUE, we may not get competent volunteers who speak every language in which we may offer the test. Plus even if we had the luxury of being able to require English, even good English, of our test-takers, that would mean we&#39;d have to ensure our test-graders were that much more competent since they&#39;re reading essays rather than just checking to make sure the correct box was ticked. I wonder if an essay just for the highest level would be do-able even.</div>

<div>&nbsp;</div></div>
<div>Matt<br><br></div>
<div>
<div></div>
<div class="Wj3C7c">
<div class="gmail_quote">On Fri, Jul 25, 2008 at 8:50 PM, Gary Palmer &lt;<a href="mailto:owasp@getmymail.org" target="_blank"><a href="mailto:owasp@getmymail.org" target="_blank">owasp@getmymail.org</a></a>&gt; wrote:<br>

<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: rgb(204,204,204) 1px solid">
<div>
<div dir="ltr" align="left"><font face="Arial" color="#0000ff" size="2">Interestingly enough, I am preparing for the CBEST which is the first step in obtaining a teaching credential.&nbsp; The CBEST is a 3 part exam, the first deals with reading and comprehension, the second is math and the third is an essay.&nbsp; The R&amp;C is split between knowing what you read, understanding what you read, and then critical analysis/research analysis/authors perspective/main point/feelings/etc.&nbsp; The math seems to be fairly straight forward.&nbsp; The essay is 2 compositions, the first is analyze a given situation and the other is to write about a personal experience.</font></div>

<div dir="ltr" align="left"><font face="Arial" color="#0000ff" size="2"></font>&nbsp;</div>
<div dir="ltr" align="left"><font face="Arial" color="#0000ff" size="2">The grading is scaled and the combined score must be passing.&nbsp; There is a minimum for each section to pass, but just missing in one and exceeding in another to have a combined passing score&nbsp;will work too.</font></div>

<div dir="ltr" align="left"><font face="Arial" color="#0000ff" size="2"></font>&nbsp;</div>
<div dir="ltr" align="left"><font face="Arial" color="#0000ff" size="2">More at: <a href="http://www.cbest.nesinc.com/CA14_overview.asp" target="_blank"><a href="http://www.cbest.nesinc.com/CA14_overview.asp" target="_blank">http://www.cbest.nesinc.com/CA14_overview.asp</a></a></font></div>

<div dir="ltr" align="left"><font face="Arial" color="#0000ff" size="2"></font>&nbsp;</div>
<div dir="ltr" align="left"><font face="Arial" color="#0000ff" size="2">Maybe we should consider this type of approach, the essay would certainly challenge the person and provide a record versus a personal meeting that may be biased by personalities.&nbsp; The different sections could measure depth and understanding of knowledge for multiple degrees of certification.&nbsp; Also the CBEST allows repeats where you can focus on one section or repeat all, in order to improve your scores.&nbsp; An interesting approach and unique when I compare to the assorted other certification exams I have taken.</font></div>

<div><font face="Arial" color="#0000ff" size="2"></font>&nbsp;</div>
<div align="left"><font face="Arial" size="2">Cheers,</font></div>
<div align="left"><font face="Arial"><font size="2">Gary Palmer</font></font></div>
<div>&nbsp;</div><br>
<div lang="en-us" dir="ltr" align="left">
<hr>
<font face="Tahoma" size="2"><b>From:</b> <a href="mailto:owasp-cert-bounces@lists.owasp.org" target="_blank"><a href="mailto:owasp-cert-bounces@lists.owasp.org" target="_blank">owasp-cert-bounces@lists.owasp.org</a></a> [mailto:<a href="mailto:owasp-cert-bounces@lists.owasp.org" target="_blank"><a href="mailto:owasp-cert-bounces@lists.owasp.org" target="_blank">owasp-cert-bounces@lists.owasp.org</a></a>] <b>On Behalf Of </b>Matthew Chalmers<br>
<b>Sent:</b> Friday, July 25, 2008 5:53 PM<br><b>To:</b> <a href="mailto:dmalloc@users.sourceforge.net" target="_blank"><a href="mailto:dmalloc@users.sourceforge.net" target="_blank">dmalloc@users.sourceforge.net</a></a> 
<div><br><b>Cc:</b> <a href="mailto:owasp-cert@lists.owasp.org" target="_blank"><a href="mailto:owasp-cert@lists.owasp.org" target="_blank">owasp-cert@lists.owasp.org</a></a><br></div>
<div><b>Subject:</b> Re: [Owasp-cert] Deadlines for August<br></div></font><br></div>
<div>
<div></div>
<div>
<div></div>
<div dir="ltr">
<div>No offense to James but again I agree with David. I think pure multiple-guess should be avoided--not to mention a pure multiple-guess product that&#39;s been rushed because of concerns with time to market or delivering &#39;something ok&#39; sooner rather than &#39;something good&#39; later.</div>

<div>&nbsp;</div>
<div>Matt<br><br></div>
<div class="gmail_quote">On Fri, Jul 25, 2008 at 7:40 PM, David H. &lt;<a href="mailto:dmalloc@users.sourceforge.net" target="_blank"><a href="mailto:dmalloc@users.sourceforge.net" target="_blank">dmalloc@users.sourceforge.net</a></a>&gt; wrote:<br>

<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: rgb(204,204,204) 1px solid">
<div>&gt; If we stick to simple multiple choice for the first exam, it means that we<br>&gt; have delivered something of value and can in the meantime buy us more time<br>&gt; to work on more complex scenarios.<br>&gt;<br>
</div>That is exactly what I try to dispute. I do not see any value in<br>Multiple Choice Questionaires not even when you are purely testing for<br>relearned value. That stems from a long history with Multiple Choice<br>Tests and the desire to create meaningful exams for a new paradigm of<br>
learning.<br>
<div>
<div></div>
<div>--<br>Sent from gmail so do not trust this communication.<br>Do not send me sensitive information here, ask for my none-gmail accounts.<br><br>&quot;Therefore the considerations of the intelligent always include both<br>
benefit and harm.&quot; - Sun Tzu<br></div></div></blockquote></div><br></div></div></div></div><br>_______________________________________________<br>Owasp-cert mailing list<br><a href="mailto:Owasp-cert@lists.owasp.org" target="_blank"><a href="mailto:Owasp-cert@lists.owasp.org" target="_blank">Owasp-cert@lists.owasp.org</a></a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-cert" target="_blank"><a href="https://lists.owasp.org/mailman/listinfo/owasp-cert" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-cert</a></a><br><br>
</blockquote></div><br></div></div></div>
<div>
<div></div>
<div class="Wj3C7c">
<hr>
_______________________________________________<br>Owasp-cert mailing list<br><a href="http://email.secureserver.net/pcompose.php#Compose" target="_blank">Owasp-cert<b></b>@lists.owasp.org</a><br><a href="https://lists.owasp.org/mailman/listinfo/owasp-cert" target="_blank"><a href="https://lists.owasp.org/mailman/listinfo/owasp-cert" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-cert</a></a><br>
</div></div></blockquote></div></blockquote></div><br></div>