<html><body>I tend to work offline a lot and hence my thinking about submissions coming inbound via XML. A schema would allow folks to work offline and email when they get connected. It also requires less upfront work to build a website (this is on my list of things to do). Since we haven't landed on the mechanism for testing, XML would allow me to transform it to whatever format we need later.<br><br>I really, really, really, really, really hate NDAs. It is my thought that we need to be as open as possible as this is the mission of OWASP. The thing I think I believe is that submissions need to be open but acceptance is what needs to remain closed. For example, anyone on the planet can submit questions but there should be no expectation that they will be incorporated and we will only acknowledge receipt.&nbsp; Agreements across international boundaries are especially problematic to write and I would never honestly encourage OWASP to spend precious money on some lawyer.<br><br>It's ok to ask un-PC questions as transparency is encouraged. In fact, I hope that more are asked as all humans have some bias in some form and it is best that they are eliminated. So, to answer the question of how I came up with locations. The answer is relatively straightforward. Since I didn't have any meaningful statistics on size of chapters and this can't be credibly determined by the number of subscribers to the mailing list (The Hartford chapter has about 35 on the list but over 100 attendees) I simply attempted to figure out which parts of the planet have IT growth and chose this as a preference. For example, If you look at the Chennai list, you will see only a handful of folks yet I know the chapter lead is an employee of Cognizant, the group is held at a Cognizant location and in Chennai alone, Cognizant has at least 20,000 potential OWASP attendees.<br><br>If you also look, there are a few locations where an OWASP chapter doesn't even exist such as Trinidad. Those types of locations where added for two reasons. First, when I was noodling the survey a co-worker had pinged me about their recent conference boondongle. So, I added in a few locations that folks may desire to travel to for this purpose. Of course, there are more than I listed but I figured that it would also have to be some place I would want to go as I would end up proctoring them.<br><br>
<blockquote webmail="1" style="border-left: 2px solid blue; margin-left: 8px; padding-left: 8px;">
-------- Original Message --------<br>
Subject: [Owasp-cert]  Principles and Perspectives<br>
From: "Matthew Chalmers" &lt;matthew.chalmers@owasp.org&gt;<br>
Date: Sat, July 26, 2008 4:50 pm<br>
To: <a href="mailto:owasp-cert@lists.owasp.org">owasp-cert@lists.owasp.org</a><br>
<br>
<div dir="ltr"><div>1. We can ask people to submit questions, or simply have a form on the web site for anyone to anonymously submit questions. They don't have to be project volunteers. We (see #2) can edit questions and answers to refine them as well as writing some ourselves. There may also be free resources of applicable questions from which we can draw to modify for our use. Of course, this all depends on if our cert will be purely question-based.</div> <div>&nbsp;</div> <div>2. I think we need to have something like an NDA for people who are privy to questions they did not submit. Anyone who sees a significant portion of the questions, especially with answers, should not be sharing them, copying files with them in it, etc. and we should not assume that just because they are given the info/access or participating in this project that they agree not to do that. A 'legal' document with a real signature will allow the Foundation to pursue action to compensate for damaging the cert if someone does. Ask Jeff perhaps, he's the the law man. Also, we might want to entertain the idea that no one person has access to all the questions. If we don't I think we have to accept that anyone who does can't be certified.</div> <div>&nbsp;</div> <div>3. Not to sound un-PC but can you explain how you came up with that particular list of regions and countries? OWASP is free for anyone to participate anywhere in the world regardless of any diversity factors, but&nbsp;I don't think it's part of OWASP's mission to make a point of being diverse.&nbsp;Most projects are free for anyone to participate, or not participate&nbsp;in.&nbsp;OWASP keeps statistics (not 100% accurate, but still) on local chapters (see for example <a href="http://www.owasp.org/apps/maps/index.jsp" mce_href="http://www.owasp.org/apps/maps/index.jsp" target="_blank"><a href="http://www.owasp.org/apps/maps/index.jsp">http://www.owasp.org/apps/maps/index.jsp</a></a>), according to which there's one single person from all of Africa, for example. I think rather than 'making sure' we have geographically diverse participation, we should simply post a message to owasp-leaders and/or on the web site main/news page&nbsp;calling for volunteers from outside the U.S. If we get some, great, but if not that's probably alright.</div> <div>&nbsp;</div> <div>Matt</div> <div>&nbsp;</div> <div>&nbsp;</div> <div><font lang="EN"><font lang="EN"> <div>_____ </div> <div>&nbsp;</div></font>From: owasp-cert-bounces at <a href="http://lists.owasp.org/" mce_href="http://lists.owasp.org/" target="_blank">lists.owasp.org</a> <div>[mailto:<a onclick="return true;Popup.composeWindow('pcompose.php?sendto=owasp-cert-bounces');; return false;" href="mailto:owasp-cert-bounces" mce_href="mailto:owasp-cert-bounces" target="_blank">owasp-cert-bounces</a> at <a href="http://lists.owasp.org/" mce_href="http://lists.owasp.org/" target="_blank">lists.owasp.org</a>] On Behalf Of</div> <div>james at <a href="http://architectbook.com/" mce_href="http://architectbook.com/" target="_blank">architectbook.com</a></div> <div>Sent: Monday, July 21, 2008 8:30 PM</div> <div>To: owasp-cert at <a href="http://lists.owasp.org/" mce_href="http://lists.owasp.org/" target="_blank">lists.owasp.org</a></div> <div>Subject: [Owasp-cert] Principles and Perspectives</div> <div>&nbsp;</div> <div>1. 50 people writing one question each will yield a better question pool</div> <div>than one person writing 50 questions. So, how do we get more contributors?</div> <div>2. I really, really, really, really hate the notion of NDAs but does it make</div> <div>sense to not have one for this type of process? The importance of not</div> <div>sharing information on exam content is vital to the success of the OWASP</div> <div>certification but NDAs are at odds with openness. Any suggestions?</div> <div>3. Diversity is really important to me and I would like to make sure that we</div> <div>have at least one person from each of these geographic areas:</div> <div>- Africa and Mediterranean countries, the Middle East, East Asia (Chian,</div> <div>Hong Kong, Taiwan, etc), Japan, South America (Brazil, Colombia, Peru,</div> <div>Venezuela, etc), Australia and New Zealand and Southeast Asia (Indonesia,</div> <div>Malaysia, Philippines, Singapore, Thailand, Vietnam). OWASP is an</div> <div>international organization and have worldwide participation can only serve</div> <div>to benefit.</div> <div>&nbsp;</div> <div>&nbsp;</div> <div>&nbsp;</div> <div>-------------- next part --------------</div> <div>An HTML attachment was scrubbed...</div> <div>URL: <a href="https://lists.owasp.org/pipermail/owasp-cert/attachments/20080722/085d9988/attachment.html" mce_href="https://lists.owasp.org/pipermail/owasp-cert/attachments/20080722/085d9988/attachment.html" target="_blank"><a href="https://lists.owasp.org/pipermail/owasp-cert/attachments/20080722/085d9988/attachment.html">https://lists.owasp.org/pipermail/owasp-cert/attachments/20080722/085d9988/attachment.html</a></a> </div> <div>From owasp at <a href="http://getmymail.org/" mce_href="http://getmymail.org/" target="_blank">getmymail.org</a> Tue Jul 22 10:31:30 2008</div> <div>From: owasp at <a href="http://getmymail.org/" mce_href="http://getmymail.org/" target="_blank">getmymail.org</a> (Gary Palmer)</div> <div>Date: Tue, 22 Jul 2008 07:31:30 -0700</div> <div>Subject: [Owasp-cert] Marketing Idea: OWASP Certification</div> <div>In-Reply-To: &lt;<a onclick="return true;Popup.composeWindow('pcompose.php?sendto=20080722051606.1b34e4c3b93181cbb56b6df77bbedd57.7f3a49c54f.wbe%40email.secureserver.net');; return false;" href="mailto:20080722051606.1b34e4c3b93181cbb56b6df77bbedd57.7f3a49c54f.wbe@email.secureserver.net" mce_href="mailto:20080722051606.1b34e4c3b93181cbb56b6df77bbedd57.7f3a49c54f.wbe@email.secureserver.net" target="_blank"><a href="mailto:20080722051606.1b34e4c3b93181cbb56b6df77bbedd57.7f3a49c54f.wbe@email.secureserver.net">20080722051606.1b34e4c3b93181cbb56b6df77bbedd57.7f3a49c54f.wbe@email.secureserver.net</a></a>&gt;</div> <div>References: &lt;<a onclick="return true;Popup.composeWindow('pcompose.php?sendto=20080722051606.1b34e4c3b93181cbb56b6df77bbedd57.7f3a49c54f.wbe%40email.secureserver.net');; return false;" href="mailto:20080722051606.1b34e4c3b93181cbb56b6df77bbedd57.7f3a49c54f.wbe@email.secureserver.net" mce_href="mailto:20080722051606.1b34e4c3b93181cbb56b6df77bbedd57.7f3a49c54f.wbe@email.secureserver.net" target="_blank"><a href="mailto:20080722051606.1b34e4c3b93181cbb56b6df77bbedd57.7f3a49c54f.wbe@email.secureserver.net">20080722051606.1b34e4c3b93181cbb56b6df77bbedd57.7f3a49c54f.wbe@email.secureserver.net</a></a>&gt;</div> <div>Message-ID: &lt;002a01c8ec07$a1e6e8d0$6c00a8c0@garycq&gt;</div> <div>And interesting to note is that SANS went from online software (I think it</div> <div>was their own) to using prometric?</div> <div>&nbsp;</div> <div>Cheers,</div> <div>Gary</div> <div>&nbsp;</div></font></div></div> <hr>_______________________________________________<br>
Owasp-cert mailing list<br>
<a onclick="return true;Popup.composeWindow('pcompose.php?sendto=Owasp-cert%40lists.owasp.org'); return false;" href="http://email.secureserver.net/pcompose.php#Compose" mce_href="http://email.secureserver.net/pcompose.php#Compose">Owasp-cert<b></b>@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-cert" target="_blank" mce_href="https://lists.owasp.org/mailman/listinfo/owasp-cert"><a href="https://lists.owasp.org/mailman/listinfo/owasp-cert">https://lists.owasp.org/mailman/listinfo/owasp-cert</a></a><br>

</blockquote></body></html>