torsdag 12 november 2009

Ingen OWASP-certifiering

En större fråga som diskuterades nästan en timme under gårdagens Summit var om OWASP ska ge sig in i certifieringsbranschen, antingen med egna certifieringar eller med krav på tredjepartscertifieringar.

Egna certifieringar
Att köra egna certifieringar går inte eftersom OWASP bara har en heltidsanställd (Kate) och därmed inte en chans att sköta administration kring certifieringstillfällen, utbildning och så vidare. Och vi vill inte anställa fler.

Kravställa externa certifieringar
Att ställa krav på tredjepartscertifieringar är en burk mask som folk uttryckte det. De flesta som erbjuder certifieringar (ISC2, SANS ...) tjänar pengar på det. OWASP är inte intresserade av det. Så varför vill dessa tredjeparter att OWASP ska ge sig in i leken? Jo, för att de vill profitera på vårt varumärke. OWASP har byggt upp en stor trovärdighet som säkert går att exploatera.

Certifieringar = bråk
Certifieringar leder alltid till bråk och hån. Ta till exempel ASS-certifieringen. Varför ska vi i OWASP ge oss in i det getingboet och riskera vår trovärdighet? Det är helt enkelt inte värt det.

Öppna frågor ett måste
OWASP står dessutom för öppenhet i alla sammanhang. Det gör att certifieringsfrågorna hos tredje part skulle behöva vara öppna. Annars kan vi inte sätta en OWASP-stämpel på det. För att en certifiering med öppna frågor ska funka så behövs tusentals frågor med erforderlig förvaltning. Vem skulle gå med på det?

Slutsats
Diskussionen slutade (läs avbröts) med att styrelsen fick i uppdrag att formulera "a statement like the supreme court" som sa nej till certifieringar med en tydlig förklaring varför.

[Uppdatering]: Under nattliga samtal senare under konferensen så insåg jag att sista ordet säkerligen inte är sagt. Det finns starka krafter som vill se en OWASP-certifiering i någon form. De valde att vara tysta under diskussionen men kommer säkert samla sig och återkomma. T ex satt tydligen en representant för ISC2 med på Summit:en. Hon var enligt uppgift inte helt nöjd med den hårda diskussionen ...

Inga kommentarer: