<div dir="ltr">Microsoft and ISO kinda beat OWASP to the punch on this one with 27034. <br></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Wed, Aug 6, 2014 at 10:56 PM, Gary Robinson <span dir="ltr"><<a href="mailto:gary.robinson@owasp.org" target="_blank">gary.robinson@owasp.org</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto"><div>Yea instead of cert'ing people or code, can we certify companies SDLCs for security? Just like a company is certified for ISO 9001 or others? Would be great to see things like "Acme is OWASP certified for their secure development processes".</div>
<div><br></div><div>If BSIMM or OpenSAMM are anything to go by then education of employees will be part of that company SDLC cert.</div><div><br></div><div>Gary<br><br>Gary D. Robinson, CISSP</div><div><div class="h5"><div>
<br>On 6 Aug 2014, at 11:36, Andrew Muller <<a href="mailto:andrew.muller@owasp.org" target="_blank">andrew.muller@owasp.org</a>> wrote:<br><br></div><blockquote type="cite"><div><div dir="ltr"><div>OWASP is good at writing guidance (code review guide) and standards (ASVS), so I don't think we should pollute the brand with certifications. We could possibly look at certifying organisations compliance with these standards but even this stinks of conflict and erosion of the OWASP brand. <br>

<br></div>My 2c<br></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Wed, Aug 6, 2014 at 6:09 PM, Eoin Keary <span dir="ltr"><<a href="mailto:eoin.keary@owasp.org" target="_blank">eoin.keary@owasp.org</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto"><div>Id love to do something like this but I'm unsure if getting students to test production code would warrant any type of robust certification. To certify code / help ensure it is secure, we really need to build security in rather than just test. </div>

<div>Certification would have to be a combination of design review, source code analysis and testing. Similar to asvs level 4?</div><div>This would take tons of work and require a dedicated experienced assessment team.</div>

<div><br></div><div>-ek</div><span><font color="#888888"><div> </div><div><br>Eoin Keary<div>Owasp Global Board</div><div><a href="tel:%2B353%2087%20977%202988" value="+353879772988" target="_blank">+353 87 977 2988</a></div>

<div><br></div></div></font></span><div><div><div><br>On 6 Aug 2014, at 02:41, Larry Conklin <<a href="mailto:larry.conklin@owasp.org" target="_blank">larry.conklin@owasp.org</a>> wrote:<br><br></div><blockquote type="cite">

<div><div dir="ltr">
















<p class="MsoNormal">


















</p><p class="MsoNormal"><font face="Times New Roman">Hi Jim I would also
like to see us move into certification but instead of certifying people. I
think we should consider software. A certification like what U</font><span style="font-family:'Times New Roman'">nderwriters</span><font face="Times New Roman"> Laboratories offers with  their "Seal of Approval". We
could start small certifying software scanners. We can offer a
free application(s) with known vulnerabilities that vendors can run their
code against to measure how well their scanner finds and reports the known
vulnerabilities. Testing would be C++, Java, C#, PHP, Ruby, and Javascript. We could also allow members to run their open source and third
party application against our code base to we could collect comprehensive measurement
of the effectiveness of each vendor scanner (both open source and third party) and
make this available to everyone who is considering buying a scanner or a SAS service
to scan software. The last thing we could do would be to offer our own
"seal of approval" if the vendor allowed us to independently
test their code. This would also be a great summer of code for some students. We don't need to start big we just need to start. I have never seen an independent study of FindBugs  that is not part of a research paper and compares other tools. Just my two cents. </font><span style="font-family:'Times New Roman'"> </span><font face="Times New Roman">Hope
you all miss the majority of the hurricanes. </font><span style="font-family:'Times New Roman'"> </span><font face="Times New Roman">Stay safe! Larry</font></p>

</div><div class="gmail_extra"><br><br><div class="gmail_quote">On Tue, Aug 5, 2014 at 6:43 PM, Jim Manico <span dir="ltr"><<a href="mailto:jim.manico@owasp.org" target="_blank">jim.manico@owasp.org</a>></span> wrote:<br>


<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto"><div>I personally think OWASP should go full boar into AppSec professional certification, but there are real obstacles preventing it from happening right now.</div>



<div><br></div><div>1) Votes among our community have always said "no" to certification</div><div><br></div><div>2) The operational overhead with certification is very significant, and we are in the process of rebooting operations with Virtual, our new HR firm</div>



<div><br></div><div>3) We would be forced to keep exam questions in secret which is against our bylaws</div><div><br></div><div>I think that if Virtual succeeds in maturing operations as I hope and pray that they do, we might be able to reconsider. But right now I feel we need to put our energies into current efforts.</div>



<div><br></div><div>Respectfully,</div><div><div>--</div><div>Jim Manico</div><div>@Manicode</div><div><a href="tel:%28808%29%20652-3805" value="+18086523805" target="_blank">(808) 652-3805</a></div></div><div><div>
<div><br>On Aug 5, 2014, at 2:24 PM, "Timur 'x' Khrotko (owasp)" <<a href="mailto:timur@owasp.org" target="_blank">timur@owasp.org</a>> wrote:<br>
<br></div><blockquote type="cite"><div><div dir="ltr">See the item from the SANS newsletter below. (For my taste the last two sentences in it are more important in principle, and in my perspective the main topic of US national association is obviously ... abstract.) The question is <b>what do you think about OWASP engaging in AppSec specialists' certification</b>? (Probably the question is not new, and we do not follow ISACA deliberately, then please send me a link to some discussion about it.) Wouldn't it be nice to create a methodology to train and examine the AppSec professionals in domains where we supply knowledge and tools (dev, test and ... management)?! (I guess it can make our brand more interesting for the AppSec crowd, bring more money and make dissemination of our tools easier).<div>





<br></div><div>~timur<br><div><br></div><div><span style="font-family:arial,sans-serif;font-size:12.8000001907349px"> --Study Calls for Cyber Security Professional Organization</span><br style="font-family:arial,sans-serif;font-size:12.8000001907349px">






<span style="font-family:arial,sans-serif;font-size:12.8000001907349px">(July 28 & August 1, 2014)</span><br style="font-family:arial,sans-serif;font-size:12.8000001907349px"><span style="font-family:arial,sans-serif;font-size:12.8000001907349px">A study from the Pell Center at Salve Regina University in Rhode Island</span><br style="font-family:arial,sans-serif;font-size:12.8000001907349px">






<span style="font-family:arial,sans-serif;font-size:12.8000001907349px">acknowledges that "there are not enough people equipped with the</span><br style="font-family:arial,sans-serif;font-size:12.8000001907349px"><span style="font-family:arial,sans-serif;font-size:12.8000001907349px">appropriate knowledge, skills, and abilities to protect the information</span><br style="font-family:arial,sans-serif;font-size:12.8000001907349px">






<span style="font-family:arial,sans-serif;font-size:12.8000001907349px">infrastructure, improve resilience, and leverage information technology</span><br style="font-family:arial,sans-serif;font-size:12.8000001907349px">





<span style="font-family:arial,sans-serif;font-size:12.8000001907349px">for strategic advantage." The report "proposes the creation of a</span><br style="font-family:arial,sans-serif;font-size:12.8000001907349px">






<span style="font-family:arial,sans-serif;font-size:12.8000001907349px">national professional association in cybersecurity to solidify the field</span><br style="font-family:arial,sans-serif;font-size:12.8000001907349px">






<span style="font-family:arial,sans-serif;font-size:12.8000001907349px">as a profession, to support individuals engaged in this profession, to</span><br style="font-family:arial,sans-serif;font-size:12.8000001907349px"><span style="font-family:arial,sans-serif;font-size:12.8000001907349px">establish professional standards, prescribe education and training, and</span><br style="font-family:arial,sans-serif;font-size:12.8000001907349px">






<span style="font-family:arial,sans-serif;font-size:12.8000001907349px">... to support the public good."</span><br style="font-family:arial,sans-serif;font-size:12.8000001907349px"><a href="http://pellcenter.salvereginablogs.com/cybersecurity-report-recommends-path-to-professional-standards-in-cybersecurity-industry/" style="font-family:arial,sans-serif;font-size:12.8000001907349px" target="_blank">http://pellcenter.salvereginablogs.com/cybersecurity-report-recommends-path-to-professional-standards-in-cybersecurity-industry/</a><br style="font-family:arial,sans-serif;font-size:12.8000001907349px">






<a href="http://www.fiercecio.com/story/pell-study-calls-creation-national-professional-cybersecurity-association/2014-08-01" style="font-family:arial,sans-serif;font-size:12.8000001907349px" target="_blank">http://www.fiercecio.com/story/pell-study-calls-creation-national-professional-cybersecurity-association/2014-08-01</a><br style="font-family:arial,sans-serif;font-size:12.8000001907349px">






<span style="font-family:arial,sans-serif;font-size:12.8000001907349px">Study:</span><br style="font-family:arial,sans-serif;font-size:12.8000001907349px"><a href="http://pellcenter.salvereginablogs.com/files/2014/07/Professionalization-of-Cybersecurity-7-28-14.pdf" style="font-family:arial,sans-serif;font-size:12.8000001907349px" target="_blank">http://pellcenter.salvereginablogs.com/files/2014/07/Professionalization-of-Cybersecurity-7-28-14.pdf</a><br style="font-family:arial,sans-serif;font-size:12.8000001907349px">






<span style="font-family:arial,sans-serif;font-size:12.8000001907349px">[Editor's Note (Assante): I learned long ago that a people-focused</span><br style="font-family:arial,sans-serif;font-size:12.8000001907349px"><span style="font-family:arial,sans-serif;font-size:12.8000001907349px">approach to cybersecurity brings with it the necessary clarity to</span><br style="font-family:arial,sans-serif;font-size:12.8000001907349px">






<span style="font-family:arial,sans-serif;font-size:12.8000001907349px">understand the true nature of the challenges and establishes a clear</span><br style="font-family:arial,sans-serif;font-size:12.8000001907349px"><span style="font-family:arial,sans-serif;font-size:12.8000001907349px">framework for planning, engineering, and implementing measures that can</span><br style="font-family:arial,sans-serif;font-size:12.8000001907349px">






<span style="font-family:arial,sans-serif;font-size:12.8000001907349px">be sustained and built upon.  We all know of countless organizations</span><br style="font-family:arial,sans-serif;font-size:12.8000001907349px"><span style="font-family:arial,sans-serif;font-size:12.8000001907349px">that reacted to a specific incident by implementing</span><br style="font-family:arial,sans-serif;font-size:12.8000001907349px">






<span style="font-family:arial,sans-serif;font-size:12.8000001907349px">outside-expert-recommended technology only to fail in its deployment and</span><br style="font-family:arial,sans-serif;font-size:12.8000001907349px">






<span style="font-family:arial,sans-serif;font-size:12.8000001907349px">operation.  Getting a competent handle on cybersecurity means engaging,</span><br style="font-family:arial,sans-serif;font-size:12.8000001907349px">





<span style="font-family:arial,sans-serif;font-size:12.8000001907349px">integrating, equipping and training people to make the difference.  Our</span><br style="font-family:arial,sans-serif;font-size:12.8000001907349px">





<span style="font-family:arial,sans-serif;font-size:12.8000001907349px">attention should turn to identifying and enhancing the knowledge and</span><br style="font-family:arial,sans-serif;font-size:12.8000001907349px"><span style="font-family:arial,sans-serif;font-size:12.8000001907349px">skills of cybersecurity professionals as a field while involving</span><br style="font-family:arial,sans-serif;font-size:12.8000001907349px">






<span style="font-family:arial,sans-serif;font-size:12.8000001907349px">business architects and engineers to make cyber-informed decisions.</span><br style="font-family:arial,sans-serif;font-size:12.8000001907349px"><span style="font-family:arial,sans-serif;font-size:12.8000001907349px">Getting this right sets the stage for game changing progress in cyber</span><br style="font-family:arial,sans-serif;font-size:12.8000001907349px">






<span style="font-family:arial,sans-serif;font-size:12.8000001907349px">resilience and defense.</span><br style="font-family:arial,sans-serif;font-size:12.8000001907349px"><span style="font-family:arial,sans-serif;font-size:12.8000001907349px">(Honan): This is something that I have argued for in the past,</span><br style="font-family:arial,sans-serif;font-size:12.8000001907349px">






<a href="http://www.net-security.org/article.php?id=1842" style="font-family:arial,sans-serif;font-size:12.8000001907349px" target="_blank">http://www.net-security.org/article.php?id=1842</a><span style="font-family:arial,sans-serif;font-size:12.8000001907349px">, To me the issue is not</span><br style="font-family:arial,sans-serif;font-size:12.8000001907349px">






<span style="font-family:arial,sans-serif;font-size:12.8000001907349px">one of creating more qualifications for individuals working in the</span><br style="font-family:arial,sans-serif;font-size:12.8000001907349px"><span style="font-family:arial,sans-serif;font-size:12.8000001907349px">field, but on the lack of accountability for those that are practising</span><br style="font-family:arial,sans-serif;font-size:12.8000001907349px">






<span style="font-family:arial,sans-serif;font-size:12.8000001907349px">in the industry but are providing below par services or products.</span><br style="font-family:arial,sans-serif;font-size:12.8000001907349px"><span style="font-family:arial,sans-serif;font-size:12.8000001907349px">(Paller): We can do reliable assessments for the technical roles -</span><br style="font-family:arial,sans-serif;font-size:12.8000001907349px">






<span style="font-family:arial,sans-serif;font-size:12.8000001907349px">forensics, secure coding, penetration testing, intrusion detection,</span><br style="font-family:arial,sans-serif;font-size:12.8000001907349px"><span style="font-family:arial,sans-serif;font-size:12.8000001907349px">incident response, etc. <b>but any attempt to reliably measure skills for</b></span><b><br style="font-family:arial,sans-serif;font-size:12.8000001907349px">






</b><span style="font-family:arial,sans-serif;font-size:12.8000001907349px"><b>security managers and policy people is hopeless</b>. Why do you think there</span><br style="font-family:arial,sans-serif;font-size:12.8000001907349px">






<span style="font-family:arial,sans-serif;font-size:12.8000001907349px">is no certification for corporate managers?]</span><br clear="all"><div><div dir="ltr"><div><br></div></div></div>
</div></div></div>

<br>
<div><font color="#66cccc" face="times new roman, serif" size="1">Email us to enforce secure link with your mail servers (domain).</font></div><span style="font-family:'times new roman',serif;font-size:x-small;background-color:rgb(255,255,255);color:rgb(102,204,204)">This message may contain confidential information - you should handle it accordingly.</span><br>



<span style="font-family:'times new roman',serif;font-size:x-small;color:rgb(102,204,204);background-color:rgb(255,255,255)">Ez a levél bizalmas információt tartalmazhat, és ekként kezelendő.</span></div></blockquote>



</div></div><blockquote type="cite"><div><span>_______________________________________________</span><br><span>OWASP-Leaders mailing list</span><br><span><a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a></span><br>



<span><a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a></span><br></div></blockquote></div>
<br>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div>
</div></blockquote><blockquote type="cite"><div><span>_______________________________________________</span><br><span>OWASP-Leaders mailing list</span><br><span><a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a></span><br>

<span><a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a></span><br></div></blockquote></div></div></div><br>_______________________________________________<br>


OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div>
</div></blockquote><blockquote type="cite"><div><span>_______________________________________________</span><br><span>OWASP-Leaders mailing list</span><br><span><a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a></span><br>
<span><a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a></span><br></div></blockquote></div></div></div></blockquote></div><br></div>