Jedna strona-pillar, która spina wszystkie ścieżki nauki i społeczności wokół warstwy evidence ipIII: od pierwszego zgłoszenia (Junior Academy) przez recenzję cudzych deklaracji (Senior Arena, program reviewerów) po wspólne ćwiczenia (hackaton, comiesięczny benchmark) i porządkujące odznaki K0NSULT. Wszystko na danych syntetycznych, po Rules of Engagement, w doktrynie claim ≤ proof: nie uczymy technik ataku, nie sprzedajemy certyfikatów branżowych — uczymy, jak zbudować i zweryfikować dowód.
Evidence-first Academy & Community to nie kurs certyfikacyjny i nie poligon ofensywny. To zestaw ćwiczeń i ról, które uczą tego samego co cały ipIII: jak z surowej obserwacji (finding, log, zrzut) zrobić weryfikowalny, znormalizowany, obronny dowód — oraz jak sprawdzić, czy cudza deklaracja ma pokrycie w kodzie, teście i endpoincie. Poniżej mapa wszystkich ośmiu elementów wraz ze statusem LIVE/ROADMAP.
Rynek szkoleń bezpieczeństwa jest zdominowany przez dwa bieguny: certyfikaty egzaminacyjne (OSCP, CISSP, CEH i podobne — cenne, ale zewnętrzne wobec ipIII i przez nas niewydawane) oraz poligony ofensywne, gdzie uczestnik ćwiczy techniki ataku na symulowanym celu. Evidence-first Academy & Community zajmuje trzecią pozycję: uczy warstwy dowodowej — tego, co dzieje się po znalezieniu podatności, zanim trafi ona do raportu, evidence-package'u czy zgłoszenia do organu. To praca z normalizacją, metadanymi, hashami integralności, chain-of-custody i językiem decision-support, nie z payloadami ataku.
Dlatego żadna z ośmiu podstron pillar nie publikuje instrukcji ataku ani gotowych exploitów. Ćwiczenia (hackaton, monthly benchmark, Senior Arena) korzystają wyłącznie z danych syntetycznych i działają w granicach pisemnych Rules of Engagement (RoE). Dowodem sukcesu ćwiczenia nie jest „zdobyty dostęp", tylko poprawnie znormalizowany, zweryfikowalny artefakt evidence — finding z metadanymi CVSS/EPSS, evidence-package z sumą kontrolną, albo trafna recenzja cudzej deklaracji.
Punkt wejścia: przegląd programu, materiały wprowadzające do warstwy evidence ipIII (import → incydent → evidence-package → retest → close), zanim uczestnik przejdzie do ścieżki junior lub senior.
Ścieżka dla osób zaczynających: jak zrobić dobre zgłoszenie evidence-first zamiast efektownego. Trzy filary: jakość dowodu, normalizacja findingów, świadomość prawna — wyłącznie na danych syntetycznych.
Poziom zaawansowany: recenzja cudzych deklaracji (LIVE vs ROADMAP), analiza pokrycia dowodowego, case studies z realnych (zanonimizowanych) i syntetycznych sytuacji z warstwy evidence.
Wspólne ćwiczenie defensywne na danych syntetycznych, po RoE: zespoły budują evidence-package z importu findingów do zamknięcia z dowodem. Kryterium wygranej: kompletność łańcucha dowodowego, nie liczba „zdobytych" elementów.
Program dla osób, które chcą recenzować deklaracje ipIII z zewnątrz — sprawdzać, czy „LIVE" ma pokrycie kodem/testem/endpointem. Udział prywatny, jawnie ujawniony (disclosure); credits jako uznanie, nie instrument finansowy ani token inwestycyjny.
Founding Reviewer Circle i Evidence Challenge: miejsce, gdzie każdy może zakwestionować deklarację ipIII i zgłosić lukę między claim a proof. Zasady naboru i mechanika opisane przed uruchomieniem.
Comiesięczne ćwiczenie porównawcze na syntetycznym zestawie danych: mierzy jakość normalizacji findingów i kompletność evidence-package między uczestnikami, bez rankingu ofensywnego.
Wewnętrzne credentials K0NSULT — narzędzie szkoleniowe i porządkujące, nie certyfikat prawny ani formalne poświadczenie kwalifikacji (nie zastępuje OSCP/CISSP/CEH). Kryteria i progi są dziś projektem.
| Wymiar | Certyfikacja branżowa, nie wydawana przez K0NSULT (OSCP/CISSP/CEH) | Evidence-first Academy K0NSULT |
|---|---|---|
| Kto wydaje | Niezależna organizacja egzaminacyjna, uznana w branży. | K0NSULT — wewnętrzne odznaki, jawnie oznaczone jako credentials firmowe, nie zewnętrzna certyfikacja. |
| Co testuje | Umiejętności ofensywne/defensywne na poligonie egzaminacyjnym. | Jakość dowodu: normalizacja findingu, kompletność evidence-package, trafność recenzji cudzej deklaracji. |
| Dane | Środowiska egzaminacyjne dostawcy. | Wyłącznie dane syntetyczne, po pisemnych RoE. |
| Wartość formalna | Uznawana przez pracodawców jako kwalifikacja zawodowa. | nie zastępuje certyfikacji branżowej; to poglądowe uznanie wewnętrzne. |
| Relacja uczestnika | Kandydat płaci za egzamin, zdaje niezależnie. | Osoby prywatne, współpraca jawnie ujawniona (disclosure); credits ≠ token inwestycyjny ani wynagrodzenie. |
Academy jest dziś w fazie budowy programu (większość elementów oznaczona ROADMAP) — mechanika naboru, kryteria odznak i harmonogram hackatonu są projektowane, zanim zostaną otwarte publicznie, żeby nikt nie dołączał na podstawie niejasnych warunków. Osoby zainteresowane wczesnym udziałem (reviewer, mentor, uczestnik pilotażu) mogą śledzić poszczególne podstrony — każda zawiera aktualny status i, gdy dostępny, sposób zgłoszenia. Materiał odsyła też do istniejących elementów warstwy evidence ipIII, które są już LIVE: import parserów skanerów, evidence-package z sumą kontrolną, Legal Trigger Engine (decision-support) — opisanych szerzej na roadmapie dev i w macierzy statusów.
Wejdź do Junior Academy — trzy filary: jakość dowodu, normalizacja findingów, świadomość prawna, na danych syntetycznych.
Sprawdź Senior Arena — recenzja deklaracji LIVE/ROADMAP, analiza pokrycia dowodowego, case studies.
Dołącz jako reviewer — udział prywatny, jawnie ujawniony, credits jako uznanie, nie instrument finansowy.
Powiązane: pełna roadmapa 7 sprintów z dowodami → /roadmap-dev · macierz statusów wszystkich elementów → /status-matrix · znane ograniczenia → /known-limitations.