ESAPI.NET - мертвый проект?

Question

Недавно мне было поручено возглавить усилия по улучшению нашей проверки ввода (и вывода) с учетом рекомендаций OWASP и соответствия PCI. В процессе я пытаюсь оценить ценность проекта ESAPI.NET, который, по-видимому, не видел никакой активности с весны 2009 года и в его нынешнем виде неполон.

Есть ли у кого-нибудь опыт использования или расширения ESAPI.NET v0.2? Является ли сегодня хорошей отправной точкой для создания инфраструктуры для устранения целевых уязвимостей?

К вашему сведению: я смотрю на MS AntiXSS, который, конечно, затрагивает лишь часть области действия ESAPI. Мы уже проделали хорошую работу с SQL-инъекцией, хотя есть улучшения, которые мы должны сделать.

(Если кто-то хочет создать тег ESAPI, не стесняйтесь. У меня нет моджо.)

Answer 1

Похоже, на прошлой неделе было несколько обновлений: http://code.google.com/p/owasp-esapi-dotnet/source/list

Вы можете связаться с одним из лидеров проекта в этом списке, чтобы спросить, что происходит.

---

ПРИМЕЧАНИЕ: 26.05.2012: последнее обновление этого проекта было 4 декабря 2010 года. Да, он мертв.

Answer 2

Сам проект кажется мертвым, но есть люди, которые поддерживают копию github с несколькими (незначительными?) Дополнениями ...

https://github.com/haldiggs/owasp-esapi-dotnet

https://github.com/jstemerdink/owasp-esapi-dotnet

Answer 3

Похоже, ESAPI мертвый период. Там никто не пользуется, нет вопросов, нет форумов, нет информации, ничего. Listservs (что это, 1996?) Тоже бесплодны. Документация ужасна, и примеры в swingset не работают (сервер, который устанавливает HTTP, не HTTPS, и никакие транзакции не могут быть сделаны в режиме HTTP)

Кажется, это тупиковый проект.