私は最近、OWASP の推奨事項と PCI コンプライアンスを念頭に置いて、入力 (および出力) の検証を改善する取り組みを主導する任務を負っています。その過程で、私は ESAPI.NET プロジェクトの価値を評価しようとしています。このプロジェクトは 2009 年の春以降活動が見られず、現状では不完全です。
ESAPI.NET v0.2 を使用または拡張した経験のある人はいますか? 対象となる脆弱性に対処するためのインフラストラクチャを構築するための出発点として、今日は適切でしょうか?
参考までに: 私は MS AntiXSS を検討していますが、これはもちろん、ESAPI の範囲の一部にしか対応していません。改善が必要な点はありますが、SQL インジェクションはすでにうまく機能しています。
(誰かが ESAPI タグを作成したい場合は、お気軽に。私にはモジョがありません。)
先週、いくつかの更新があったようです: http://code.google.com/p/owasp-esapi-dotnet/source/list
そのリストにあるプロジェクト リーダーの 1 人に連絡して、何が起こっているのかを尋ねることができます。
注: 2012 年 5 月 26 日: そのプロジェクトの最後の更新は 2010 年 12 月 4 日でした。はい、それは死んでいます。
ESAPI はデッド ピリオドのようです。誰も使っていません。質問もフォーラムも情報も何もありません。listservs (これは何ですか、1996 年?) も不毛です。ドキュメントはひどいもので、swingset のサンプルは機能しません (インストールするサーバーは HTTPS ではなく HTTP であり、HTTP モードではトランザクションを行うことができません)。
行き止まりのプロジェクトのようです。