<div dir="ltr"><div>Is <a href="https://www.owasp.org/images/6/67/OWASP_People_Certification_Project_-_June_2008_-_Draft.pdf">https://www.owasp.org/images/6/67/OWASP_People_Certification_Project_-_June_2008_-_Draft.pdf</a>&nbsp;the proposal to which you&#39;re referring? I&#39;ve read it...that and the project home page (<a href="http://www.owasp.org/index.php/Category:OWASP_Certification_Project">http://www.owasp.org/index.php/Category:OWASP_Certification_Project</a>) should be required reading for anyone involved/on this list!</div>

<div>&nbsp;</div>
<div>When I took the survey I didn&#39;t interpret the question the same way. I thought when it was asking if multiple exams was preferred it was asking about a single cert. So to get one OWASP cert (if there is more than one) you have to sit for two or more exams. To get another OWASP cert you sit for another two or more. Multiple levels can come from multiple scoring ranges on one or more exams, multiple exams, or multiple sets of multiple exams...and so on. Or a level may not require an exam at all, maybe an interview (as you mentioned &quot;in person&quot; below).</div>

<div>&nbsp;</div>
<div>I do like the idea of at least for advanced level if not everything requiring something other than a written (computer based/scan-tron/whatever medium) exam. I helped one of my former employers develop a hands-on ethical hacking skills exam. No traditional questions. Not even any concrete objectives, just do a pen test on a given IP and report on what you found. We had to go through several pilots to get results consistent though. I&#39;ve also stood miltary boards and taken the DLPT several times which (for two out of three areas anyway) whilst it has multiple choice answers the questions aren&#39;t simply questions that have an answer--you have to read or listen to some situation/material and then answer a question about it...kind of like your standardised test &quot;word problems&quot; in a way, but not exactly since it&#39;s a foreign language.</div>

<div>&nbsp;</div>
<div>Regarding the level titles, how about apprentice, journeyman, master? :-) Or, simply I, II and III...that way there could be a IV or V&nbsp;if ever needed. Or we might have a&nbsp;fairly &#39;easy&#39; entry level at I requiring no exam just documented training/experience, and II is when you really have to know some stuff, III harder still, or requiring more time in the field, etc. Just throwing out ideas. Another is that we might have something like &quot;OWASP Certified Secure C Developer&quot; and &quot;OWASP Certified Secure Java Developer&quot; etc. The thing we have to deal with is, if you genericise secure development to be non-language-specific, not everyone can apply everything to just any language, and likewise someone who can write solid, secure C code might not be able to do the same in Java, or whatever. Also we aren&#39;t just talking about development in languages but maybe also as a web server administrator, infosec person who normally does firewalls that wants to specialise in web firewallying, etc. The Proposal does mention development, architecture, and design. I think maybe the goals weren&#39;t necessarily written with clear differences in mind though. (Of course the Proposal also &#39;dictates&#39; that there will be ONE exam and it WILL cost $150. So why are we discussing these things? There are several other things in the Proposal that will hamper us a little or a lot.)</div>

<div>&nbsp;</div>
<div>I am curious to know what &#39;guidance&#39; was provided by chapter leaders. Or was everything in the proposal hashed out and decided by them?</div>
<div>&nbsp;</div>
<div>Matt<br><br></div>
<div class="gmail_quote">On Fri, Jul 25, 2008 at 7:15 PM, &lt;<a href="mailto:james@architectbook.com">james@architectbook.com</a>&gt; wrote:<br>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">
<div>In terms of whether it makes sense to have more than one exam, according to the survey data (I will circulate results once we close) it looks like many desire multiple exams. Personally, I hate to sit in the same place for multiple hours. So, if we have multiple exams, it can result in multiple levels.<br>
<br>Honestly, we haven&#39;t really landed on the name of the certification, but did explore multiple levels. Not to reinvent the wheel nor avoid reinventing the wheel but some aspects/guidance was provided by other OWASP chapter leaders which shaped the original proposal. I am curious if everyone here has seen the proposal which is posted on the OWASP site.<br>
<br>What do you think about developer, architect and master as the three levels? The third level is in person while the other two are computer exams?<br><br>
<blockquote style="PADDING-LEFT: 8px; MARGIN-LEFT: 8px; BORDER-LEFT: blue 2px solid">
<div>
<div></div>
<div class="Wj3C7c">-------- Original Message --------<br>Subject: Re: [Owasp-cert] Marketing Question One<br>From: &quot;Matthew Chalmers&quot; &lt;<a href="mailto:matthew.chalmers@owasp.org" target="_blank">matthew.chalmers@owasp.org</a>&gt;<br>
Date: Fri, July 25, 2008 6:52 pm<br>To: <a href="mailto:dmalloc@users.sourceforge.net" target="_blank">dmalloc@users.sourceforge.net</a><br>Cc: <a href="mailto:Owasp-cert@lists.owasp.org" target="_blank">Owasp-cert@lists.owasp.org</a><br>
<br>
<div dir="ltr">
<div>Figuring out the purpose of the cert is something I definitely think needs to be discussed but I don&#39;t necessarily think we should be talking about whether our cert should be free, cheap, expensive, or anything else until we&#39;ve gotten to a point in its development when we actually know what it&#39;s going to cost OWASP to offer it, if anything--at which time we can figure out if seeking sponsorship/grants is feasible or appropriate.</div>

<div>&nbsp;</div>
<div>Besides, there may be more than one cert, or there may be one exam to ascertain more than one level of skill (e.g. if you get 70% right you&#39;re basic, 80% intermediate, etc.). Additionally, if the purpose is to assess knowledge, that might be different from assessing experience--or the latter might be adjunct to the former. If the purpose is just to see how much&nbsp;one retained from a training course or book, I don&#39;t think that necessarily has much weight and it should be part of the training course/book fee, if any.</div>

<div>&nbsp;</div>
<div>Matt</div>
<div>&nbsp;</div>
<div><br>&nbsp;</div>
<div class="gmail_quote">On Fri, Jul 25, 2008 at 10:46 AM, David H. &lt;<a href="mailto:dmalloc@users.sourceforge.net" target="_blank"><a href="mailto:dmalloc@users.sourceforge.net" target="_blank">dmalloc@users.sourceforge.net</a></a>&gt; wrote:<br>

<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: rgb(204,204,204) 1px solid">
<div>On Fri, Jul 25, 2008 at 4:45 PM, &nbsp;&lt;<a href="mailto:james@architectbook.com" target="_blank"><a href="mailto:james@architectbook.com" target="_blank">james@architectbook.com</a></a>&gt; wrote:<br>&gt; Should certification be free to employees of organizations that sponsor<br>
&gt; OWASP (<a href="http://www.owasp.org/index.php/Membership" target="_blank"><a href="http://www.owasp.org/index.php/Membership" target="_blank">http://www.owasp.org/index.php/Membership</a></a>)?<br>&gt;<br></div>What is the purpose of the certification drive? If it is to promote<br>
sane OWASP and to ensure that people are continually educated then<br>certification should be free for everyone. We would need to seek other<br>means of sponsorship and grants to make that happen. I personally<br>think that a peer reviewed model which is free to all is the best way<br>
forward.<br><br>-d<br><br><br>--<br>Sent from gmail so do not trust this communication.<br>Do not send me sensitive information here, ask for my none-gmail accounts.<br><br>&quot;Therefore the considerations of the intelligent always include both<br>
benefit and harm.&quot; - Sun Tzu<br>_______________________________________________<br>Owasp-cert mailing list<br><a href="mailto:Owasp-cert@lists.owasp.org" target="_blank"><a href="mailto:Owasp-cert@lists.owasp.org" target="_blank">Owasp-cert@lists.owasp.org</a></a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-cert" target="_blank"><a href="https://lists.owasp.org/mailman/listinfo/owasp-cert" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-cert</a></a><br></blockquote>
</div><br></div></div></div>
<hr>

<div class="Ih2E3d">_______________________________________________<br>Owasp-cert mailing list<br><a href="http://email.secureserver.net/pcompose.php#Compose" target="_blank">Owasp-cert<b></b>@lists.owasp.org</a><br><a href="https://lists.owasp.org/mailman/listinfo/owasp-cert" target="_blank"><a href="https://lists.owasp.org/mailman/listinfo/owasp-cert" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-cert</a></a><br>
</div></blockquote></div></blockquote></div><br></div>