<html><body>Here is my at work opinion, so all disclaimers apply. I work for The Hartford (or should I say a Fortune 200 enterprise in the Northeast) and the importance of building security into applications is something we encourage at a variety of levels. In the modern enterprise, software can be built offshore where I may never have a single conversation with the developer actually writing code to us buying software from vendors such as Microsoft, IBM, Oracle, etc where I also may never have a single conversation with the developers writing code. I therefore don't have any reason to think that "developer" level certifications need to have a communications component. I do believe that "architect" level certifications need to have some aspect of soft-skills.<br><br>Communication skills is an interesting thing to measure. Many of my peers are great writers but absolutely suck when it comes to doing presentations. This can be attributable to stage fright, accent, etc. The inverse is also true where I have met many great presenters who suck at writing (think Big Four type firms).<br><br>In terms of the regional aspects, other than the names of the identifiers, I think it is in scope worldwide. My employer has locations in Europe, South America and Japan and we can't claim ignorance. How many software companies and/or enterprises are only US or Europe based?<br><br>
<blockquote webmail="1" style="border-left: 2px solid blue; margin-left: 8px; padding-left: 8px;">
-------- Original Message --------<br>
Subject: Re: [Owasp-cert] Deadlines for August<br>
From: "Joshbw" &lt;joshbw@analyticalengine.net&gt;<br>
Date: Sat, July 26, 2008 1:31 pm<br>
To: &lt;<a href="mailto:owasp-cert@lists.owasp">owasp-cert@lists.owasp</a>.org&gt;<br>
<br>
    <!--[if !mso]> <style>
 #wmMessage v\:*  {behavior:url(#default#VML);}
 #wmMessage o\:*  {behavior:url(#default#VML);}
 #wmMessage w\:*  {behavior:url(#default#VML);}
 #wmMessage .shape  {behavior:url(#default#VML);}

</style> <![endif]--> <style>
 #wmMessage v\:*  {behavior:url(#default#VML);}
 #wmMessage o\:*  {behavior:url(#default#VML);}
 #wmMessage w\:*  {behavior:url(#default#VML);}
 #wmMessage .shape  {behavior:url(#default#VML);}

</style>    <div class="Section1"> <div><font style="font-size: 11pt; font-family: &quot;Calibri&quot;,&quot;sans-serif&quot;;" color="#1f497d" face="Calibri,sans-serif">On the subject of essays I’d like to add that in my experience being able to communicate effectively is absolutely necessary for security, whether it be explaining vulnerabilities found by pentesting to the devs that don’t necessarily understand the vulnerabilities (has anyone tried explaining CSRF to the unenlightened?) or justifying stricter security standards to high level development leads.&nbsp; Multiple choice will not provide any analysis of said communication skills, which I think begs a broader question on what the intent of the cert really is.&nbsp; &nbsp;From the project PDF it is stated that the following are goals:<o:p></o:p></font></div> <div><font style="font-size: 11pt; font-family: &quot;Calibri&quot;,&quot;sans-serif&quot;;" color="#1f497d" face="Calibri,sans-serif"><o:p>&nbsp;</o:p></font></div> <p class="MsoListParagraph" style="text-indent: -0.25in;"><!--[if !supportLists]--><font style="font-size: 9pt; font-family: Symbol;" color="#1f497d" face="Symbol"><font style="">·<font style="font-family: &quot;Times New Roman&quot;; font-style: normal; font-variant: normal; font-weight: normal; font-size: 7pt; line-height: normal; font-size-adjust: none; font-stretch: normal;" face="Times New Roman">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; </font></font></font><!--[endif]--><font style="font-size: 9pt; font-family: &quot;Calibri&quot;,&quot;sans-serif&quot;;" color="#1f497d" face="Calibri,sans-serif">Allow employers to rate their developers and architects on security skills so the can be confident that every project has at least one "security master" and all of their developers and architects understand the common errors and how to avoid them.<o:p></o:p></font></p> <p class="MsoListParagraph" style="text-indent: -0.25in;"><!--[if !supportLists]--><font style="font-size: 9pt; font-family: Symbol;" color="#1f497d" face="Symbol"><font style="">·<font style="font-family: &quot;Times New Roman&quot;; font-style: normal; font-variant: normal; font-weight: normal; font-size: 7pt; line-height: normal; font-size-adjust: none; font-stretch: normal;" face="Times New Roman">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; </font></font></font><!--[endif]--><font style="font-size: 9pt; font-family: &quot;Calibri&quot;,&quot;sans-serif&quot;;" color="#1f497d" face="Calibri,sans-serif">Provide a means for buyers of software and systems vendors to measure the secure programming skills of the people who work for the supplier.<o:p></o:p></font></p> <p class="MsoListParagraph" style="text-indent: -0.25in;"><!--[if !supportLists]--><font style="font-size: 9pt; font-family: Symbol;" color="#1f497d" face="Symbol"><font style="">·<font style="font-family: &quot;Times New Roman&quot;; font-style: normal; font-variant: normal; font-weight: normal; font-size: 7pt; line-height: normal; font-size-adjust: none; font-stretch: normal;" face="Times New Roman">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; </font></font></font><!--[endif]--><font style="font-size: 9pt; font-family: &quot;Calibri&quot;,&quot;sans-serif&quot;;" color="#1f497d" face="Calibri,sans-serif">Allow developers and architects to identify their gaps in secure programming knowledge in the language they use and target education to fill those gaps.<o:p></o:p></font></p> <p class="MsoListParagraph" style="text-indent: -0.25in;"><!--[if !supportLists]--><font style="font-size: 9pt; font-family: Symbol;" color="#1f497d" face="Symbol"><font style="">·<font style="font-family: &quot;Times New Roman&quot;; font-style: normal; font-variant: normal; font-weight: normal; font-size: 7pt; line-height: normal; font-size-adjust: none; font-stretch: normal;" face="Times New Roman">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; </font></font></font><!--[endif]--><font style="font-size: 9pt; font-family: &quot;Calibri&quot;,&quot;sans-serif&quot;;" color="#1f497d" face="Calibri,sans-serif">Allow employers to evaluate job candidates and potential consultants on their secure design &amp; development skills and knowledge.<o:p></o:p></font></p> <p class="MsoListParagraph" style="text-indent: -0.25in;"><!--[if !supportLists]--><font style="font-size: 9pt; font-family: Symbol;" color="#1f497d" face="Symbol"><font style="">·<font style="font-family: &quot;Times New Roman&quot;; font-style: normal; font-variant: normal; font-weight: normal; font-size: 7pt; line-height: normal; font-size-adjust: none; font-stretch: normal;" face="Times New Roman">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; </font></font></font><!--[endif]--><font style="font-size: 9pt; font-family: &quot;Calibri&quot;,&quot;sans-serif&quot;;" color="#1f497d" face="Calibri,sans-serif">Provide incentive for universities to include secure software design &amp; development in required computer science, engineering, and programming courses.<o:p></o:p></font></p> <p class="MsoListParagraph" style="text-indent: -0.25in;"><!--[if !supportLists]--><font style="font-size: 9pt; font-family: Symbol;" color="#1f497d" face="Symbol"><font style="">·<font style="font-family: &quot;Times New Roman&quot;; font-style: normal; font-variant: normal; font-weight: normal; font-size: 7pt; line-height: normal; font-size-adjust: none; font-stretch: normal;" face="Times New Roman">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; </font></font></font><!--[endif]--><font style="font-size: 9pt; font-family: &quot;Calibri&quot;,&quot;sans-serif&quot;;" color="#1f497d" face="Calibri,sans-serif">Provide reporting to allow individuals and organizations to compare their skills against others in their industry, with similar education or experience or in similar regions around the world.<o:p></o:p></font></p> <div><font style="font-size: 11pt; font-family: &quot;Calibri&quot;,&quot;sans-serif&quot;;" color="#1f497d" face="Calibri,sans-serif"><o:p>&nbsp;</o:p></font></div> <div><font style="font-size: 11pt; font-family: &quot;Calibri&quot;,&quot;sans-serif&quot;;" color="#1f497d" face="Calibri,sans-serif">I interpret these goals to mean that the primary point is to testify to the utility of a cert holder to an employer (or business partner/customer of the employer).&nbsp; The more generic we make the test(s), making it communication skills and language agnostic, shying away from country specific issues (such as SSN in the US, SIN in Canada, etc), and so forth, we are watering down the metric for gauging utility.&nbsp; A company that does business in English (I think we can avoid dialectic issues between countries fairly easily) would absolutely want to know that a perspective cert holder can communicate security knowledge clearly in English (note, clearly doesn’t mean eloquently, just effectively. This doesn’t have to be the GRE written portion), and a company that’s product services a specific country/confederacy should be confident that their security professional knows the applicable issues for that region (handling SSN in the US, handling any PII in the EU including possibly IPs now, etc).&nbsp; So with that said, are people comfortable with a degradation in the utility of the cert by ignoring these things, would they like to include that information in the base test, or would it be preferable to have an expansion module for specific regions that covers applicable language/legal concerns for that region (for example: a separate smaller cert after you get the OWASP cert, with specifics for North America, Latin America, APAC, or Europe).<o:p></o:p></font></div> <div><font style="font-size: 11pt; font-family: &quot;Calibri&quot;,&quot;sans-serif&quot;;" color="#1f497d" face="Calibri,sans-serif"><o:p>&nbsp;</o:p></font></div> <div><font style="font-size: 11pt; font-family: &quot;Calibri&quot;,&quot;sans-serif&quot;;" color="#1f497d" face="Calibri,sans-serif">As for the essay being a better gauge of knowledge and understanding than multiple choice, that is only true if you construct a multiple choice with only one right answer.&nbsp; You can very easily make multiple choice questions that require in depth understanding by having zero or more answers right and making the test taker mark all of the correct (possible leaving blank) answers.&nbsp; It is harder to craft such questions well, and they can be hard as heck, but you need to know your stuff to do well.&nbsp; In that regard it isn’t much different than essay in terms of knowing the material.<o:p></o:p></font></div> <div><font style="font-size: 11pt; font-family: &quot;Calibri&quot;,&quot;sans-serif&quot;;" color="#1f497d" face="Calibri,sans-serif"><o:p>&nbsp;</o:p></font></div> <p class="MsoListParagraph" style="text-indent: -0.25in;"><!--[if !supportLists]--><font style="font-size: 11pt; font-family: &quot;Calibri&quot;,&quot;sans-serif&quot;;" color="#1f497d" face="Calibri,sans-serif"><font style="">-<font style="font-family: &quot;Times New Roman&quot;; font-style: normal; font-variant: normal; font-weight: normal; font-size: 7pt; line-height: normal; font-size-adjust: none; font-stretch: normal;" face="Times New Roman">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; </font></font></font><!--[endif]--><font style="font-size: 11pt; font-family: &quot;Calibri&quot;,&quot;sans-serif&quot;;" color="#1f497d" face="Calibri,sans-serif">Josh<o:p></o:p></font></p> <div><font style="font-size: 11pt; font-family: &quot;Calibri&quot;,&quot;sans-serif&quot;;" color="#1f497d" face="Calibri,sans-serif"><o:p>&nbsp;</o:p></font></div> <div> <div style="border-style: solid none none; border-color: rgb(181, 196, 223) -moz-use-text-color -moz-use-text-color; border-width: 1pt medium medium; padding: 3pt 0in 0in;"> <div><b><font style="font-family: &quot;Tahoma&quot;,&quot;sans-serif&quot;;" size="2" face="Tahoma,sans-serif">From:</font></b><font style="font-family: &quot;Tahoma&quot;,&quot;sans-serif&quot;;" size="2" face="Tahoma,sans-serif"> <a href="mailto:owasp-cert-bounces@lists.owasp.org">owasp-cert-bounces@lists.owasp.org</a> [<a onclick="return true;Popup.composeWindow('pcompose.php?sendto=owasp-cert-bounces%40lists.owasp.org');; return false;" href="mailto:owasp-cert-bounces@lists.owasp.org" target="_blank" mce_href="mailto:owasp-cert-bounces@lists.owasp.org"><a href="mailto:owasp-cert-bounces@lists.owasp.org">mailto:owasp-cert-bounces@lists.owasp.org</a></a>] <b>On Behalf Of </b><a href="mailto:james@architectbook.com">james@architectbook.com</a><br> <b>Sent:</b> Friday, July 25, 2008 10:14 PM<br> <b>To:</b> Gary Palmer<br> <b>Cc:</b> <a href="mailto:owasp-cert@lists.owasp.org">owasp-cert@lists.owasp.org</a><br> <b>Subject:</b> Re: [Owasp-cert] Deadlines for August<o:p></o:p></font></div> </div> </div> <div><o:p>&nbsp;</o:p></div> <div>Gary, I am a huge fan of essays. If you have ever taken the Sun certification for Java, they use this approach. The second advantage is that I could possibly score lots of them in free time. Could make for interesting reading on the John. Maybe it could be peer-reviewed by multiple chapter leaders with voting. I think this is the credibility this project needs.<br> <br> Likewise, I think I need to further refine the breakdown to reflect developer-level concerns vs architect-level concerns (I can see my enterpriseyness showing). I will be sending out additional stuff as time allows over the weekend.<br> <br> <br> <o:p></o:p></div> <p class="MsoNormal" style="margin-bottom: 12pt;">-------- Original Message --------<br> Subject: Re: [Owasp-cert] Deadlines for August<br> From: "Gary Palmer" &lt;owasp@getmymail.org&gt;<br> Date: Fri, July 25, 2008 9:50 pm<br> To: &lt;<a onclick="return true;Popup.composeWindow('pcompose.php?sendto=owasp-cert%40lists.owasp');; return false;" href="mailto:owasp-cert@lists.owasp" target="_blank" mce_href="mailto:owasp-cert@lists.owasp"><a href="mailto:owasp-cert@lists.owasp">owasp-cert@lists.owasp</a></a>.org&gt;<o:p></o:p></p> <div><font style="font-family: &quot;Arial&quot;,&quot;sans-serif&quot;;" size="2" color="blue" face="Arial,sans-serif">Interestingly enough, I am preparing for the CBEST which is the first step in obtaining a teaching credential.&nbsp; The CBEST is a 3 part exam, the first deals with reading and comprehension, the second is math and the third is an essay.&nbsp; The R&amp;C is split between knowing what you read, understanding what you read, and then critical analysis/research analysis/authors perspective/main point/feelings/etc.&nbsp; The math seems to be fairly straight forward.&nbsp; The essay is 2 compositions, the first is analyze a given situation and the other is to write about a personal experience.</font><o:p></o:p></div> <div>&nbsp;<o:p></o:p></div> <div><font style="font-family: &quot;Arial&quot;,&quot;sans-serif&quot;;" size="2" color="blue" face="Arial,sans-serif">The grading is scaled and the combined score must be passing.&nbsp; There is a minimum for each section to pass, but just missing in one and exceeding in another to have a combined passing score&nbsp;will work too.</font><o:p></o:p></div> <div>&nbsp;<o:p></o:p></div> <div><font style="font-family: &quot;Arial&quot;,&quot;sans-serif&quot;;" size="2" color="blue" face="Arial,sans-serif">More at: <a href="http://www.cbest.nesinc.com/CA14_overview.asp" target="_blank" mce_href="http://www.cbest.nesinc.com/CA14_overview.asp"><a href="http://www.cbest.nesinc.com/CA14_overview.asp">http://www.cbest.nesinc.com/CA14_overview.asp</a></a></font><o:p></o:p></div> <div>&nbsp;<o:p></o:p></div> <div><font style="font-family: &quot;Arial&quot;,&quot;sans-serif&quot;;" size="2" color="blue" face="Arial,sans-serif">Maybe we should consider this type of approach, the essay would certainly challenge the person and provide a record versus a personal meeting that may be biased by personalities.&nbsp; The different sections could measure depth and understanding of knowledge for multiple degrees of certification.&nbsp; Also the CBEST allows repeats where you can focus on one section or repeat all, in order to improve your scores.&nbsp; An interesting approach and unique when I compare to the assorted other certification exams I have taken.</font><o:p></o:p></div> <div> <div>&nbsp;<o:p></o:p></div> </div> <div><font style="font-family: &quot;Arial&quot;,&quot;sans-serif&quot;;" size="2" face="Arial,sans-serif">Cheers,</font><o:p></o:p></div> <div><font style="font-family: &quot;Arial&quot;,&quot;sans-serif&quot;;" size="2" face="Arial,sans-serif">Gary Palmer</font><o:p></o:p></div> <div> <div>&nbsp;<o:p></o:p></div> </div> <div><o:p>&nbsp;</o:p></div> <div class="MsoNormal" style="font-size:12pt;text-align: center;" align="center"> <hr size="2" width="100%" align="center"> </div> <p class="MsoNormal" style="margin-bottom: 12pt;"><b><font style="font-family: &quot;Tahoma&quot;,&quot;sans-serif&quot;;" size="2" face="Tahoma,sans-serif">From:</font></b><font style="font-family: &quot;Tahoma&quot;,&quot;sans-serif&quot;;" size="2" face="Tahoma,sans-serif"> <a onclick="return true;Popup.composeWindow('pcompose.php?sendto=owasp-cert-bounces%40lists.owasp.org');; return false;" href="mailto:owasp-cert-bounces@lists.owasp.org" target="_blank" mce_href="mailto:owasp-cert-bounces@lists.owasp.org"><a href="mailto:owasp-cert-bounces@lists.owasp.org">owasp-cert-bounces@lists.owasp.org</a></a> [<a onclick="return true;Popup.composeWindow('pcompose.php?sendto=owasp-cert-bounces%40lists.owasp.org');; return false;" href="mailto:owasp-cert-bounces@lists.owasp.org" target="_blank" mce_href="mailto:owasp-cert-bounces@lists.owasp.org"><a href="mailto:owasp-cert-bounces@lists.owasp.org">mailto:owasp-cert-bounces@lists.owasp.org</a></a>] <b>On Behalf Of </b>Matthew Chalmers<br> <b>Sent:</b> Friday, July 25, 2008 5:53 PM<br> <b>To:</b> <a onclick="return true;Popup.composeWindow('pcompose.php?sendto=dmalloc%40users.sourceforge.net');; return false;" href="mailto:dmalloc@users.sourceforge.net" target="_blank" mce_href="mailto:dmalloc@users.sourceforge.net"><a href="mailto:dmalloc@users.sourceforge.net">dmalloc@users.sourceforge.net</a></a><br> <b>Cc:</b> <a onclick="return true;Popup.composeWindow('pcompose.php?sendto=owasp-cert%40lists.owasp.org');; return false;" href="mailto:owasp-cert@lists.owasp.org" target="_blank" mce_href="mailto:owasp-cert@lists.owasp.org"><a href="mailto:owasp-cert@lists.owasp.org">owasp-cert@lists.owasp.org</a></a><br> <b>Subject:</b> Re: [Owasp-cert] Deadlines for August</font><o:p></o:p></p> <div> <div> <div>No offense to James but again I agree with David. I think pure multiple-guess should be avoided--not to mention a pure multiple-guess product that's been rushed because of concerns with time to market or delivering 'something ok' sooner rather than 'something good' later.<o:p></o:p></div> </div> <div> <div>&nbsp;<o:p></o:p></div> </div> <div> <p class="MsoNormal" style="margin-bottom: 12pt;">Matt<o:p></o:p></p> </div> <div> <div>On Fri, Jul 25, 2008 at 7:40 PM, David H. &lt;<a onclick="return true;Popup.composeWindow('pcompose.php?sendto=dmalloc%40users.sourceforge.net');; return false;" href="mailto:dmalloc@users.sourceforge.net" target="_blank" mce_href="mailto:dmalloc@users.sourceforge.net"><a href="mailto:dmalloc@users.sourceforge.net">dmalloc@users.sourceforge.net</a></a>&gt; wrote:<o:p></o:p></div> <div> <div>&gt; If we stick to simple multiple choice for the first exam, it means that we<br> &gt; have delivered something of value and can in the meantime buy us more time<br> &gt; to work on more complex scenarios.<br> &gt;<o:p></o:p></div> </div> <div>That is exactly what I try to dispute. I do not see any value in<br> Multiple Choice Questionaires not even when you are purely testing for<br> relearned value. That stems from a long history with Multiple Choice<br> Tests and the desire to create meaningful exams for a new paradigm of<br> learning.<o:p></o:p></div> <div> <div> <div>--<br> Sent from gmail so do not trust this communication.<br> Do not send me sensitive information here, ask for my none-gmail accounts.<br> <br> "Therefore the considerations of the intelligent always include both<br> benefit and harm." - Sun Tzu<o:p></o:p></div> </div> </div> </div> <div><o:p>&nbsp;</o:p></div> </div> <div class="MsoNormal" style="font-size:12pt;text-align: center;" align="center"> <hr size="2" width="100%" align="center"> </div> <div>_______________________________________________<br> Owasp-cert mailing list<br> <a href="http://email.secureserver.net/pcompose.php#Compose" target="_blank" mce_href="http://email.secureserver.net/pcompose.php#Compose"><a href="mailto:Owasp-cert@lists.owasp.org">Owasp-cert@lists.owasp.org</a></a><br> <a href="https://lists.owasp.org/mailman/listinfo/owasp-cert" target="_blank" mce_href="https://lists.owasp.org/mailman/listinfo/owasp-cert"><a href="https://lists.owasp.org/mailman/listinfo/owasp-cert">https://lists.owasp.org/mailman/listinfo/owasp-cert</a></a><o:p></o:p></div> </div>   <hr>_______________________________________________<br>
Owasp-cert mailing list<br>
<a onclick="return true;Popup.composeWindow('pcompose.php?sendto=Owasp-cert%40lists.owasp.org'); return false;" href="http://email.secureserver.net/pcompose.php#Compose" mce_href="http://email.secureserver.net/pcompose.php#Compose">Owasp-cert<b></b>@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-cert" target="_blank" mce_href="https://lists.owasp.org/mailman/listinfo/owasp-cert"><a href="https://lists.owasp.org/mailman/listinfo/owasp-cert">https://lists.owasp.org/mailman/listinfo/owasp-cert</a></a><br>

</blockquote></body></html>