<div dir="ltr"><div>Well...that all depends. Is this project for developing/establishing an OWASP cert, or is it for that plus the ongoing delivery and maintenance of the cert? I don&#39;t want us to be so overzealous that we volunteer the next &#39;generation&#39; to do extra work if we don&#39;t also establish a framework or system in which to do it. Essentially, I don&#39;t want to just throw in a &#39;nice to have&#39; requirement now that becomes Someone Else&#39;s Problem later. (E.g., &quot;Here&#39;s the OWASP cert we built, have fun implementing and maintaining it.&quot; &quot;Hey what&#39;s this thing about approving and tracking CPEs?&quot; &quot;Well that&#39;s required to keep your cert up to date.&quot; &quot;Well how are we going to decide how to approve them, and then how are we going to track the ones we approve?&quot; &quot;I dunno, we only designed a system to store exam data, not CPEs...&quot;)</div>

<div>&nbsp;</div>
<div>If we don&#39;t let that happen but still go with CPEs (or whatever),&nbsp;this group&nbsp;has a bit more work to do in analysis (discussion), design, develop, and test...personally I think it&#39;s easier to just mandate retaking the exam, or some version of the exam, every so often. The exam we will already have and have a process for. Plus I still don&#39;t think CPEs mean a darn thing. I get them all the time from cheesy lectures and organisational meetings. But if we have requirements for CPE &#39;value&#39; we have to define them so the customers understand them, and we have to verify what the customers submit meets the requirements, and we have to keep track of the intersection of those two so that we know who has up-to-date certs. It&#39;s certainly not impossible, maybe not even difficult, but it&#39;s extra work, and extra work means extra time. Not that I&#39;m advocating the bare minimum to get by, it&#39;s just one point.</div>

<div>&nbsp;</div>
<div>Matt<br><br></div>
<div class="gmail_quote">On Mon, Jul 28, 2008 at 5:11 PM, <span dir="ltr">&lt;<a href="mailto:james@architectbook.com">james@architectbook.com</a>&gt;</span> wrote:<br>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">
<div>I would entertain a special &quot;recertification&quot; exam as an alternative to CPEs. I would ask though how hard would tracking be since we aren&#39;t focused on general security but something that isn&#39;t represented elsewhere...<br>
<br>
<blockquote style="PADDING-LEFT: 8px; MARGIN-LEFT: 8px; BORDER-LEFT: blue 2px solid">
<div class="Ih2E3d">-------- Original Message --------<br>Subject: Re: [Owasp-cert] Continuing Education?<br>From: &quot;Matthew Chalmers&quot; &lt;<a href="mailto:matthew.chalmers@owasp.org" target="_blank">matthew.chalmers@owasp.org</a>&gt;<br>
Date: Mon, July 28, 2008 3:10 pm<br>To: <a href="mailto:owasp-cert@lists.owasp.org" target="_blank">owasp-cert@lists.owasp.org</a><br><br></div>
<div dir="ltr">
<div class="Ih2E3d">
<div>I don&#39;t think CPEs/PDUs prove anything. I know how easy they&nbsp;can be&nbsp;to get, plus it puts more burden on OWASP to track them and to make sure they actually pertain to webappsec. I prefer the SANS/GIAC method of having to retake the exam every few years to prove you still know what you&#39;re doing. Perhaps a scaled-down &quot;maintenance&quot; exam or just a reduced rate, or a lower acceptable minimum score for the same level. Open to ideas.</div>

<div>&nbsp;</div>
<div>Matt<br><br></div></div>
<div class="gmail_quote">
<div class="Ih2E3d">On Mon, Jul 28, 2008 at 12:00 PM, <font dir="ltr">&lt;<a href="mailto:james@architectbook.com" target="_blank"><a href="mailto:james@architectbook.com" target="_blank">james@architectbook.com</a></a>&gt;</font> wrote:<br>
</div>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: rgb(204,204,204) 1px solid">
<div class="Ih2E3d">
<div>The focus of the discussion to date has been about multiple choice approaches. The topic of whether continuing education hasn&#39;t came up and I would love for others to chime in as this may be even more important.<br>
<br>Every three years, you must renew your PMP, CISSP, etc status by earning 60 professional development units (PDUs) and by reaffirming the code of ethics and professional conduct. PDUs are earned by taking accredited training, providing training, or by reading professional books.<br>
<br>Aren&#39;t we better served by focusing on this aspect?<br></div><br></div>
<div class="Ih2E3d">_______________________________________________<br>Owasp-cert mailing list<br><a href="mailto:Owasp-cert@lists.owasp.org" target="_blank"><a href="mailto:Owasp-cert@lists.owasp.org" target="_blank">Owasp-cert@lists.owasp.org</a></a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-cert" target="_blank"><a href="https://lists.owasp.org/mailman/listinfo/owasp-cert" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-cert</a></a><br><br>
</div></blockquote></div><br></div>
<hr>

<div class="Ih2E3d">_______________________________________________<br>Owasp-cert mailing list<br><a href="http://email.secureserver.net/pcompose.php#Compose" target="_blank">Owasp-cert<b></b>@lists.owasp.org</a><br><a href="https://lists.owasp.org/mailman/listinfo/owasp-cert" target="_blank"><a href="https://lists.owasp.org/mailman/listinfo/owasp-cert" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-cert</a></a><br>
</div></blockquote></div></blockquote></div><br></div>