<div dir="ltr"><div>I strongly suggest whatever technology may be used to store privileged exam content be hosted on OWASP&#39;s servers. Not by a third party, not by an individual, and not even by a generous and good-intentioned OWASP member/sponsor/volunteer&#39;s company. OWASP should be 100% in control of and responsible for control of this content, since it&#39;s likely not going to be public like most everything else. This is something that needs to be done right from the start. Not necessarily perfect, but as &#39;right&#39; as possible--which may not be the most convenient or expedient way.</div>

<div>&nbsp;</div>
<div>Also, I believe we need to start keeping track of project &#39;Decisions,&#39; separate from &#39;Suggestions&#39; or any other documentation that can change at any time. This way we can keep it all on one wiki page and refer to it. Also, anyone interested in the project&#39;s status can go to one page and see all the Decisions--these should be things that don&#39;t change unless they&#39;re discussed by whoever&#39;s determined to be an active project member, in the spirt of OWASP&#39;s consensus process (see <a href="http://www.owasp.org/index.php/How_OWASP_Works#Management">http://www.owasp.org/index.php/How_OWASP_Works#Management</a>).</div>

<div>&nbsp;</div>
<div>One such Decision I think we need to make is whether any one person will have access to any and all exam content. There are pros and cons to doing it this way and not doing it this way.&nbsp;One of the things I see in favor of one or more people having access to all exam content is that it might make the exam more consistent overall. One of the things I see in favor of limiting everyone to having access only to one or a few content areas is that it may still be possible for these people to obtain the cert themselves. As an example, say we have 14 subject areas for the basic exam (as it currently stands according to&nbsp;<a href="https://www.owasp.org/index.php/Category:OWASP_Certification_Requirements#Content_Area_.28Developer.29">https://www.owasp.org/index.php/Category:OWASP_Certification_Requirements#Content_Area_.28Developer.29</a>). If someone is &#39;elected&#39; as an SME for one area, say cryptography, and that&#39;s the only section of exam content to which that person is privy, then that person may be able to sit for the exam under one of at least a couple possible conditions: for example, a special exam is &#39;generated&#39; which excludes crypto content; or the person&#39;s minimum passing score is raised by automatically marking all crypto questions incorrect.</div>

<div>&nbsp;</div>
<div>Basically what I&#39;m thinking is, every person is able to use any OWASP product/resource regardless of whether that person helped to create it. But in this case, if we&#39;re keeping exam content secret--because having it will help your chances on the exam--people who participate heavily in exam content creation/selection have an advantage so they will not (ethically?) be able to use this particular OWASP product/resource. Sort of the opposite view might also be possible, although I would assume less likely/popular: that anyone who contributes significantly to exam content is someone who would have passed the exam anyway, so they should be thought to &#39;have&#39; this certification without taking the exam. Sort of like how other new certifications often grandfather people into it by virtue of documented experience/references.</div>

<div>&nbsp;</div>
<div>Matt<br></div>
<div><br></div>
<div class="gmail_quote">On Tue, Jul 29, 2008 at 7:17 AM, <span dir="ltr">&lt;<a href="mailto:james@architectbook.com" target="_blank">james@architectbook.com</a>&gt;</span> wrote:<br>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">
<div>Does anyone know of a place where we can version control our questions for free that doesn&#39;t make the answers publicly available?<br><br>If not, I will load subversion to a host over the weekend. Hoping to avoid some work.<br>
</div><br>_______________________________________________<br>Owasp-cert mailing list<br><a href="mailto:Owasp-cert@lists.owasp.org" target="_blank">Owasp-cert@lists.owasp.org</a><br><a href="https://lists.owasp.org/mailman/listinfo/owasp-cert" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-cert</a><br>
<br></blockquote></div><br></div>