<div dir="ltr"><div>Who says we're easily distracted?! ;)<br><br></div>Is the discussion dead or does the community think that certification of organisations/processes is a worthwhile pursuit and does the Board think they can lead it?<br>
</div><div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, Aug 7, 2014 at 11:20 AM, Donald <span dir="ltr"><<a href="mailto:don.gooden@gmail.com" target="_blank">don.gooden@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div>
<div>
<div style="FONT-SIZE:11pt;FONT-FAMILY:Calibri,sans-serif">You guys are funny...<br><br>Thanks for the laugh...<br><br>Enjoy it...<br><br>D</div></div>
<div dir="ltr">
<hr>
<span style="FONT-SIZE:11pt;FONT-FAMILY:Calibri,sans-serif;FONT-WEIGHT:bold">From: </span><span style="FONT-SIZE:11pt;FONT-FAMILY:Calibri,sans-serif"><a href="mailto:jason.johnson@p7n.net" target="_blank">(P7N) Jason Johnson</a></span><br>
<span style="FONT-SIZE:11pt;FONT-FAMILY:Calibri,sans-serif;FONT-WEIGHT:bold">Sent: </span><span style="FONT-SIZE:11pt;FONT-FAMILY:Calibri,sans-serif">‎8/‎6/‎2014 4:33 PM</span><br><span style="FONT-SIZE:11pt;FONT-FAMILY:Calibri,sans-serif;FONT-WEIGHT:bold">To: </span><span style="FONT-SIZE:11pt;FONT-FAMILY:Calibri,sans-serif"><a href="mailto:jim.manico@owasp.org" target="_blank">Jim Manico</a>; <a href="mailto:tglemser@secuvera.de" target="_blank">Tobias Glemser</a></span><br>
<span style="FONT-SIZE:11pt;FONT-FAMILY:Calibri,sans-serif;FONT-WEIGHT:bold">Cc: </span><span style="FONT-SIZE:11pt;FONT-FAMILY:Calibri,sans-serif"><a href="mailto:owasp-leaders@lists.owasp.org" target="_blank">owasp-leaders@lists.owasp.org</a></span><br>
<span style="FONT-SIZE:11pt;FONT-FAMILY:Calibri,sans-serif;FONT-WEIGHT:bold">Subject: </span><span style="FONT-SIZE:11pt;FONT-FAMILY:Calibri,sans-serif">Re: [Owasp-leaders] professionalizing the cybersecurity workforce //OWASP certification</span><br>
<br></div><div class="">-----BEGIN PGP SIGNED MESSAGE-----<br>Hash: SHA512<br><br>Crap....I need to get that of my Resume<br><br>On August 6, 2014 2:22:05 PM CDT, Jim Manico <<a href="mailto:jim.manico@owasp.org" target="_blank">jim.manico@owasp.org</a>> wrote:<br>
</div><div class="">>I do not doubt that you are a highly experienced ASS, but yes, the<br>>cert is indeed a hoax. ;) Next time I'm in Germany I'll buy everyone<br>>some beer.<br>><br>>Aloha,<br></div>
<div><div class="h5">>-<br>>Jim Manico<br>>@Manicode<br>><a href="tel:%28808%29%20652-3805" value="+18086523805" target="_blank">(808) 652-3805</a><br>><br>>On Aug 6, 2014, at 11:47 AM, Tobias Glemser <<a href="mailto:tglemser@secuvera.de" target="_blank">tglemser@secuvera.de</a>><br>
>wrote:<br>><br>>>> PS: That's the ASS-Cert and it was a hoax. :)<br>>> Sir! You're saying the "certified ASS" I've got proudly printed on my<br>>> business cards is a fake :-0? Can't be real.. :)<br>
>><br>>> I guess the next beer is on you my Hawaiian friend.<br>>><br>>> Tobias<br>>><br>>>> -----Ursprüngliche Nachricht-----<br>>>> Von: Jim Manico [mailto:<a href="mailto:jim.manico@owasp.org" target="_blank">jim.manico@owasp.org</a>]<br>
>>> Gesendet: Mittwoch, 6. August 2014 18:26<br>>>> An: Tobias Glemser<br>>>> Cc: <a href="mailto:owasp-leaders@lists.owasp.org" target="_blank">owasp-leaders@lists.owasp.org</a><br>>>> Betreff: Re: [Owasp-leaders] professionalizing the cybersecurity<br>
>workforce<br>>>> //<br>>>> OWASP certification [ Z1 UNGESICHERT ]<br>>>><br>>>>> Always keep in mind: In 2012 we already had a "Certified<br>>Application<br>>>>> Security Specialist" promoted at AppSecDC<br>
>>><br>>>> PS: That's the ASS-Cert and it was a hoax. :)<br>>>><br>>>> Aloha,<br>>>> --<br>>>> Jim Manico<br>>>> @Manicode<br>>>> <a href="tel:%28808%29%20652-3805" value="+18086523805" target="_blank">(808) 652-3805</a><br>
>>><br>>>>>> On Aug 6, 2014, at 8:33 AM, Tobias Glemser<br>><<a href="mailto:tobias.glemser@owasp.org" target="_blank">tobias.glemser@owasp.org</a>><br>>>>> wrote:<br>>>>><br>
>>>> Hi there,<br>>>>><br>>>>> I fully understand the "why is there no OWASP Sticker, pardon me,<br>>>>> OWASP Certificate"-question arises year after year. But to quote<br>
>Jim<br>>>>><br>>>>>> 1) Votes among our community have always said "no" to<br>>certification<br>>>>> As a community driven organization _this_ is the most relevant<br>
>thing to<br>>>>> keep<br>>>> in mind in any discussion. If the participants think we should<br>>re-think<br>>>> the topic,<br>>>> because things change over time: Keep on going.<br>
>>>><br>>>>> Always keep in mind: In 2012 we already had a "Certified<br>>Application<br>>>>> Security Specialist" promoted at AppSecDC See<br>>>>><br>><a href="http://lists.owasp.org/pipermail/owasp-leaders/2012-April/007071.html" target="_blank">http://lists.owasp.org/pipermail/owasp-leaders/2012-April/007071.html</a><br>
>>>><br>>>>> Tobias<br>>>>><br>>>>>> -----Ursprüngliche Nachricht-----<br>>>>>> Von: <a href="mailto:owasp-leaders-bounces@lists.owasp.org" target="_blank">owasp-leaders-bounces@lists.owasp.org</a> [mailto:<a href="mailto:owasp-leaders-" target="_blank">owasp-leaders-</a><br>
>>>>> <a href="mailto:bounces@lists.owasp.org" target="_blank">bounces@lists.owasp.org</a>] Im Auftrag von Gary Robinson<br>>>>>> Gesendet: Mittwoch, 6. August 2014 17:17<br>>>>>> An: Andrew Muller<br>
>>>>> Cc: <a href="mailto:owasp-leaders@lists.owasp.org" target="_blank">owasp-leaders@lists.owasp.org</a>; <a href="mailto:conklinl@hotmail.com" target="_blank">conklinl@hotmail.com</a>; Timur 'x'<br>
>>>>> Khrotko<br>>>>>> (owasp)<br>>>>>> Betreff: Re: [Owasp-leaders] professionalizing the cybersecurity<br>>>>>> workforce // OWASP certification [ Z1 UNGESICHERT ]<br>
>>>>><br>>>>>> Hi,<br>>>>>><br>>>>>> Good point on ISO 27034, and I see we have a project 'OWASP ISO<br>>IEC<br>>>>>> 27034 Application Security Controls' (hadn't seen before).  Would<br>
>be<br>>>>>> good to see this catch on.<br>>>>>><br>>>>>> Gary<br>>>>>><br>>>>>><br>>>>>><br>>>>>> Gary D. Robinson, CISSP<br>
>>>>><br>>>>>> On 6 Aug 2014, at 14:06, Andrew Muller <<a href="mailto:andrew.muller@owasp.org" target="_blank">andrew.muller@owasp.org</a>><br>>>> wrote:<br>>>>>><br>
>>>>><br>>>>>><br>>>>>>   Microsoft and ISO kinda beat OWASP to the punch on this one with<br>>>>>> 27034.<br>>>>>><br>>>>>><br>>>>>><br>
>>>>>   On Wed, Aug 6, 2014 at 10:56 PM, Gary Robinson<br>>>>>> <<a href="mailto:gary.robinson@owasp.org" target="_blank">gary.robinson@owasp.org</a>> wrote:<br>>>>>><br>
>>>>><br>>>>>>       Yea instead of cert'ing people or code, can we certify<br>>>>>> companies SDLCs for security? Just like a company is certified for<br>>>>>> ISO 9001 or others? Would be great to see things like "Acme is<br>
>OWASP<br>>>>>> certified for their secure development processes".<br>>>>>><br>>>>>>       If BSIMM or OpenSAMM are anything to go by then education of<br>>>>>> employees will be part of that company SDLC cert.<br>
>>>>><br>>>>>>       Gary<br>>>>>><br>>>>>>       Gary D. Robinson, CISSP<br>>>>>><br>>>>>>       On 6 Aug 2014, at 11:36, Andrew Muller<br>
>>>>> <<a href="mailto:andrew.muller@owasp.org" target="_blank">andrew.muller@owasp.org</a>> wrote:<br>>>>>><br>>>>>><br>>>>>><br>>>>>>           OWASP is good at writing guidance (code review guide)<br>
>and<br>>>>>> standards (ASVS), so I don't think we should pollute the brand<br>>with<br>>>>>> certifications. We could possibly look at certifying organisations<br>>>>>> compliance with these standards but even this stinks of conflict<br>
>and<br>>>>>> erosion of the OWASP brand.<br>>>>>><br>>>>>><br>>>>>>           My 2c<br>>>>>><br>>>>>><br>>>>>><br>
>>>>>           On Wed, Aug 6, 2014 at 6:09 PM, Eoin Keary<br>>>>>> <<a href="mailto:eoin.keary@owasp.org" target="_blank">eoin.keary@owasp.org</a>> wrote:<br>>>>>><br>>>>>><br>
>>>>>               Id love to do something like this but I'm unsure if<br>>>>>> getting students to test production code would warrant any type of<br>>>>>> robust certification. To certify code / help ensure it is secure,<br>
>we<br>>>>>> really need to build security in rather than just test.<br>>>>>>               Certification would have to be a combination of<br>>design<br>>>>>> review, source code analysis and testing. Similar to asvs level 4?<br>
>>>>>               This would take tons of work and require a dedicated<br>>>>>> experienced assessment team.<br>>>>>><br>>>>>>               -ek<br>>>>>><br>
>>>>><br>>>>>><br>>>>>>               Eoin Keary<br>>>>>>               Owasp Global Board<br>>>>>>               <a href="tel:%2B353%2087%20977%202988" value="+353879772988" target="_blank">+353 87 977 2988</a><br>
>>>>> <tel:%2B353%2087%20977%202988><br>>>>>><br>>>>>><br>>>>>>               On 6 Aug 2014, at 02:41, Larry Conklin<br>>>>>> <<a href="mailto:larry.conklin@owasp.org" target="_blank">larry.conklin@owasp.org</a>> wrote:<br>
>>>>><br>>>>>><br>>>>>><br>>>>>><br>>>>>><br>>>>>>                   Hi Jim I would also like to see us move into<br>>>>>> certification but instead of certifying people. I think we should<br>
>>>>> consider software. A certification like what Underwriters<br>>>>>> Laboratories offers with  their "Seal of Approval". We could start<br>>>>>> small certifying software scanners. We can offer a free<br>
>>>>> application(s) with known vulnerabilities that vendors can run<br>>their<br>>>>>> code against to measure how well their scanner finds and reports<br>>the<br>>>>>> known vulnerabilities. Testing would be C++, Java, C#, PHP, Ruby,<br>
>and<br>>>>>> Javascript. We could also allow members to run their open source<br>>and<br>>>>>> third party application against our code base to we could collect<br>>>>>> comprehensive measurement of the effectiveness of each vendor<br>
>scanner<br>>>>>> (both open source and third party) and make this available to<br>>>>>> everyone who is considering buying a scanner or a SAS service to<br>>scan<br>>>> software. The last thing we could do would be to offer our own "seal<br>
>of<br>>>> approval" if the vendor allowed us to independently test their code.<br>>>>>> This would also be a great summer of code for some students. We<br>>don't<br>>>>>> need to start big we just need to start. I have never seen an<br>
>>>>> independent study of FindBugs  that is not part of a research<br>>paper<br>>>>>> and compares other tools. Just my two cents.  Hope you all miss<br>>the<br>>>>>> majority<br>
>>> of the hurricanes.  Stay safe!<br>>>>>> Larry<br>>>>>><br>>>>>><br>>>>>><br>>>>>>                   On Tue, Aug 5, 2014 at 6:43 PM, Jim Manico<br>
>>>>> <<a href="mailto:jim.manico@owasp.org" target="_blank">jim.manico@owasp.org</a>> wrote:<br>>>>>><br>>>>>><br>>>>>>                       I personally think OWASP should go full boar<br>
>>>>> into AppSec professional certification, but there are real<br>>obstacles<br>>>>>> preventing it from happening right now.<br>>>>>><br>>>>>>                       1) Votes among our community have always<br>
>said<br>>>>>> "no" to certification<br>>>>>><br>>>>>>                       2) The operational overhead with<br>>certification<br>>>>>> is very significant, and we are in the process of rebooting<br>
>>>>> operations with Virtual, our new HR firm<br>>>>>><br>>>>>>                       3) We would be forced to keep exam questions<br>>>>>> in secret which is against our bylaws<br>
>>>>><br>>>>>>                       I think that if Virtual succeeds in maturing<br>>>>>> operations as I hope and pray that they do, we might be able to<br>>>>>> reconsider. But right now I feel we need to put our energies into<br>
>>>>> current efforts.<br>>>>>><br>>>>>>                       Respectfully,<br>>>>>>                       --<br>>>>>>                       Jim Manico<br>
>>>>>                       @Manicode<br>>>>>>                       <a href="tel:%28808%29%20652-3805" value="+18086523805" target="_blank">(808) 652-3805</a> <tel:%28808%29%20652-3805><br>
>>>>><br>>>>>>                       On Aug 5, 2014, at 2:24 PM, "Timur 'x'<br>>Khrotko<br>>>>>> (owasp)" <<a href="mailto:timur@owasp.org" target="_blank">timur@owasp.org</a>> wrote:<br>
>>>>><br>>>>>><br>>>>>><br>>>>>>                           See the item from the SANS newsletter<br>>>>>> below. (For my taste the last two sentences in it are more<br>
>important<br>>>>>> in principle, and in my perspective the main topic of US national<br>>>>>> association is obviously ... abstract.) The question is what do<br>>you<br>>>>>> think about OWASP engaging in AppSec specialists' certification?<br>
>>>>> (Probably the question is not new, and we do not follow ISACA<br>>>>>> deliberately, then please send me a link to some discussion about<br>>>>>> it.) Wouldn't it be nice to create a methodology to train and<br>
>examine<br>>>>>> the AppSec professionals in domains where we supply knowledge and<br>>>>>> tools (dev, test and ... management)?! (I guess it can make our<br>>brand<br>>>>>> more interesting for the AppSec crowd, bring more money and make<br>
>>> dissemination of our tools easier).<br>>>>>><br>>>>>>                           ~timur<br>>>>>><br>>>>>><br>>>>>>                            --Study Calls for Cyber Security<br>
>>>>> Professional Organization<br>>>>>>                           (July 28 & August 1,<br>>>>>> 2014)<br>>>>>>                           A study from the Pell Center at Salve<br>
>>>>> Regina University in Rhode Island<br>>>>>>                           acknowledges that "there are not enough<br>>>>>> people equipped with the<br>>>>>>                           appropriate knowledge, skills, and<br>
>>>>> abilities to protect the information<br>>>>>>                           infrastructure, improve resilience, and<br>>>>>> leverage information technology<br>>>>>>                           for strategic advantage." The report<br>
>>>>> "proposes the creation of a<br>>>>>>                           national professional association in<br>>>>>> cybersecurity to solidify the field<br>>>>>>                           as a profession, to support individuals<br>
>>>>> engaged in this profession, to<br>>>>>>                           establish professional standards,<br>>>>>> prescribe education and training, and<br>>>>>>                           ... to support the public good."<br>
>>>>><br>>>>>>   <a href="http://pellcenter.salvereginablogs.com/cybersecurity-report-" target="_blank">http://pellcenter.salvereginablogs.com/cybersecurity-report-</a><br>>>>>><br>
>recommends-path-to-professional-standards-in-cybersecurity-industry/<br>>>>>><br>>>>>><br>><a href="http://www.fiercecio.com/story/pell-study-calls-creation-national-" target="_blank">http://www.fiercecio.com/story/pell-study-calls-creation-national-</a><br>
>>>>> professional-cybersecurity-association/2014-08-01<br>>>>>>                           Study:<br>>>>>><br>>>>>><br>>>>>><br>><a href="http://pel" target="_blank">http://pel</a><br>
-----BEGIN PGP SIGNATURE-----<br>Version: APG v1.1.1<br><br>iQJDBAEBCgAtBQJT4o+WJhxKYXNvbiBKb2huc29uIDxqYXNvbi5qb2huc29uQHA3<br>bi5uZXQ+AAoJEESGuCi6L62Mo60QAJ6CdDNbwkiUDW0sC9xecZpqzOGgw8BdoGx6<br>owrel22CSFgFnWhHmFfd/cHBQhaYwnNV1WAr92tRiQiwGQUitcvjK7C6FoGDA46V<br>
rLC+6EbpRT7PEGzXBlUD4mBZaWzLENhgRsmtwyuo4XKPWOE9nnR61qMFlPFc0nqI<br>5x8d2FEziI0CNNRHdGh311nWRS4I6XOsXj3o94q41PaziBPROV1UYJ0A8cJegn3U<br>JbmEBR/fNsmX1LfXwjWGDJpS5Wknd0qndioL1/NBw0p7yP6cVR/Yd3UaV+w/gY1t<br>x+05MwM3mKoPCSo+RJn6lsp3gK58HEx4qFnMd3JHNJGDK1/4oBNC+FoalTy1fqp1<br>
qk35gdo8OoGcJdkeBv5yt0qESrJDyy1jfRYr4/aL3ASFntfNB7QiUeU+dAyhdhb1<br>Dvxp76kcTHjycoyxJbxeVck1xv+2MjiVEqfjKNxqysU3Q1RaBv54FDFFLDwnW9xy<br>m1W6v0q/+5QH/d+47CQG1hBJU+s25hGoEWCNQfTDCvq3bHuUszuL0eDhiu2ffTtg<br>6z/Tp5kW+Nli/5JqwBjtScEmVgacGvBKb9EQpnv/IZ6mBAh5ax5zz5UeN3Z83ACO<br>
FWjq1bXtskcYpj0mrZ+xFZ/6q60xtBMbfF80SF7gtFU2/mvZOSTs7UmSH4J+C5/x<br>Eum/vR4p<br>=8Sf/<br>-----END PGP SIGNATURE-----<br><br></div></div><div class="">_______________________________________________<br>OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br><a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
</div></div><br>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br><br clear="all"><br>-- <br><div dir="ltr"><div><div><div>____________________<br></div><b>Andrew Muller</b><br></div>Canberra OWASP Chapter Leader<br></div>OWASP Testing Guide Co-Leader<br></div>

</div>