Является ли ESAPI.NET мертвым проектом?

Question

Недавно мне поручили усилить нашу проверку ввода и вывода с рекомендациями OWASP и соблюдением PCI. В этом процессе я пытаюсь оценить ценность проекта ESAPI.NET, который, похоже, не видел никакой активности с весны 2009 года и, поскольку он стоит, является неполным.

Есть ли у кого-нибудь опыт использования или расширения ESAPI.NET v0.2? Сегодня ли это хорошее начало для создания инфраструктуры для решения адресных уязвимостей?

FYI: Я смотрю MS AntiXSS, который, конечно же, обращается только к области ESAPI. Мы уже хорошо работаем с SQL-инъекцией, хотя есть улучшения, которые нам нужно сделать.

(.. Если кто-то хочет создать ESAPI тег, не стесняйтесь, я не имею харизмы)

Answer 1

Похоже, там было несколько обновлений на прошлой неделе: http://code.google.com/p/owasp-esapi-dotnet/source/list

Вы можете связаться с одним из проект ведет в этом списке, чтобы спросить, что происходит.

---

Примечание: 05/26/2012: последнее обновление по этому проекту было 4 декабря 2010 г. Да, он мертв.

Answer 2

Похоже, что ESAPI является мертвым периодом. Его никто не использует, нет вопросов, нет форумов, нет информации, ничего. Списки рассылки (что это, 1996?) Тоже бесплодны. Документация ужасная, и образцы в swingset не работают (сервер, который устанавливает HTTP, не HTTPS, и никакие транзакции не могут быть сделаны в режиме HTTP).

Кажется, это тупиковый проект.

Answer 3

Сам проект кажется мертвым есть однако некоторые люди которые поддерживают GitHub копию с несколькими (несовершеннолетней?) Дополнения ...

https://github.com/haldiggs/owasp-esapi-dotnet

https://github.com/jstemerdink/owasp-esapi-dotnet