1. Accueil
  2. Question et réponse
  3. Est-ce que ESAPI.NET est un projet mort?

Est-ce que ESAPI.NET est un projet mort?

2010-11-30 23 views
3

J'ai récemment été chargé de diriger un effort pour améliorer notre validation d'entrée (et de sortie) avec les recommandations OWASP et la conformité PCI en tête. Dans le cadre de ce processus, j'essaie d'évaluer la valeur du projet ESAPI.NET qui ne semble avoir connu aucune activité depuis le printemps 2009 et qui, en l'état, est incomplet.Est-ce que ESAPI.NET est un projet mort?

Est-ce que quelqu'un a déjà utilisé ou étendu ESAPI.NET v0.2? Est-ce un bon point de départ aujourd'hui pour construire une infrastructure pour traiter les vulnérabilités ciblées?

FYI: Je regarde MS AntiXSS qui, bien sûr, n'aborde qu'une partie de la portée d'ESAPI. Nous faisons déjà du bon travail avec l'injection SQL bien qu'il y ait des améliorations à apporter.

(.. Si quelqu'un veut créer une balise ESAPI, ne hésitez pas, je n'ai pas le mojo)

Source

2010-11-30 Rick Putnam

+0

Oui nous avons besoin de plus d'énergie sur ce projet , êtes-vous en mesure d'aider? Si oui, pourquoi ne pas vous joindre à la direction du projet ESAPI .Net et y arriver? :) –

Répondre

4

On dirait qu'il y avait deux met à jour la semaine dernière: http://code.google.com/p/owasp-esapi-dotnet/source/list

Vous pouvez contacter l'un des le projet mène sur cette liste pour demander ce qui se passe.

REMARQUE: 26/05/2012: la dernière mise à jour sur ce projet était le 4 décembre 2010. Oui, il est mort.

Source

2010-11-30 23:00:52 NotMe

+0

Merci, Chris. Je regardais seulement les communiqués. Je vais creuser plus profond. –

+0

NOTE pour les futurs lecteurs. La dernière mise à jour de ce projet a eu lieu le 4 décembre 2010 (une semaine après que ma réponse a été postée ici). Donc, oui, il semble être complètement mort maintenant. – NotMe

0

Il semble que ESAPI soit une période morte. Il n'y a personne qui l'utilise, il n'y a pas de questions, pas de forums, pas d'informations, rien. Les listes de diffusion (qu'est-ce que c'est, 1996?) Sont stériles aussi. La documentation est terrible et les échantillons dans le swingset ne fonctionnent pas (le serveur qui installe est HTTP non HTTPS, et aucune transaction ne peut être faite en mode HTTP).

Semble être un projet sans issue.

Source

2011-09-21 14:33:58 ChopperCharles

+0

Morte pour .NET peut-être. Vivant et donnant un coup de pied pour Java. (Je l'ai implémenté dans deux sociétés, une fortune 500 et une fortune 1000) ESAPI est également utilisé comme outil de formation de facto pour la correction de sécurité par SANS et Veracode. – avgvstvs

 Questions connexes

  • Aucun problème connexe^_^