(CCing esapi-user list) <div><br></div><div>My view is that OWASP should NOT be providing these commercial services (even if it could afford to).<div><br></div><div>ESAPI to grow and be adopted needs to be commercially supported.</div>
<div><br></div><div>And it will happen, the only question I have is if Aspect Security will do it first, or if somebody else will jump in and run with it.</div><div><br></div><div>Jeff &amp; Dave, you need to make up your mind(s) on what you want to do with Aspect and ESAPI in 2010 :)</div>
<div><br></div><div>Dinis<br><br><div class="gmail_quote">2010/1/10 Mike Boberski <span dir="ltr">&lt;<a href="mailto:mike.boberski@gmail.com">mike.boberski@gmail.com</a>&gt;</span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
Dinis, fair questions in my mind, BUT, I think your questions are not ones that can be answered in a single email, or even a single white paper or programming manual. They also I think over-simplify the &quot;should I use ESAPI&quot; question, not taking into account the other language versions for which some of these questions are either not applicable, or are answered differently based on language, I&#39;m not sure that question #13 takes that into account when applied recursively to the other questions. Documentation is thin, to address one or two points specifically below. I wrote a design patterns doc that applies to all languages to explain how and under what circumstances one might consider customizing ESAPI (all languages), it&#39;s on the FAQ tab. Install guides and release notes are spotty across all languages, check out the PHP install guide and release notes to get an idea of what&#39;s to come in the future. Perhaps also check out the ESAPI datasheet (&quot;introduction to ESAPI&quot;) also on the FAQ tab. Also, OWASP is a non-profit, so there are no professional services software development services offered by OWASP. Also, the user tab has organizations who have been using ESAPI, although no white papers have been published describing &quot;this is what I did with ESAPI&quot;, although that type of document, documents like &quot;this is how you build your own custom user/auth classes&quot;, are in the queue. I didn&#39;t realize how long this email got, sorry. The email caught my eye and I felt compelled to offer my $0.02. I&#39;m sure Jim/Jeff will provide a point-by-point response.<br>



<br>Best,<br><br clear="all">Mike<br>
<br><br><div class="gmail_quote"><div><div></div><div class="h5">On Sat, Jan 9, 2010 at 7:48 PM, Dinis Cruz <span dir="ltr">&lt;<a href="mailto:dinis.cruz@googlemail.com" target="_blank">dinis.cruz@googlemail.com</a>&gt;</span> wrote:<br>
</div></div><blockquote class="gmail_quote" style="border-left:1px solid rgb(204, 204, 204);margin:0pt 0pt 0pt 0.8ex;padding-left:1ex"><div><div></div><div class="h5">


<span style="font-family:arial,sans-serif;font-size:13px;border-collapse:collapse"><div>Following the recent thread on Java 6 security and ESAPI, I just would like to ask the following clarifications: </div><div><br>


</div>
<div>1) For an existing web application currently using a MVC framework (like Spring or Struts) are we today (9th Jan 2009) officially recommending that this web application development team adds OWASP&#39;s ESAPI.jar to the list of &#39;external&#39; APIs (i.e. libs) they use, support and maintain?</div>





<div><br></div><div>2) When adopting the OWASP ESAPI&#39;s J2EE implementation, is ESAPI.jar ALL they need to add? or are there other dependencies (i.e. jars) that also need<font face="arial, helvetica, sans-serif"><span style="font-size:small"> to be added, supported and maintained? (for example on the &#39;</span></font><span style="line-height:19px"><b><font face="arial, helvetica, sans-serif"><span style="font-size:small">Dependencies</span></font><span style="font-weight:normal"><font face="arial, helvetica, sans-serif"><span style="font-size:small">&#39; section of the</span></font></span><span style="font-weight:normal;line-height:normal"><font face="arial, helvetica, sans-serif"><span style="font-size:small"> </span></font><a href="http://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API#tab=Java_EE" style="color:rgb(42, 93, 176)" target="_blank"><font face="arial, helvetica, sans-serif"><span style="font-size:small">ESAPI Java EE</span></font></a><font face="arial, helvetica, sans-serif"><span style="font-size:small"> page (i.e. Tab) it seems to imply that there are other *.jars needed)</span></font></span></b></span></div>





<div><span style="line-height:19px"><b><span style="font-weight:normal;line-height:normal"><font face="arial, helvetica, sans-serif"><span style="font-size:small"><br>
</span></font></span></b></span></div><div><font face="arial, helvetica, sans-serif"><span style="font-size:small">3) Where can I find detailed information about each of the 9 Security Controls that ESAPI.jar currently supports: 1) Authentication, 2) Access control, 3) Input validation, 4) Output encoding/escaping, 5) Cryptography, 6) Error handling and logging, 7) Communication security, 8) HTTP security and 9) Security configuration? (I took this list of controls from the <a href="http://www.owasp.org/images/8/81/Esapi-datasheet.pdf" target="_blank">Introduction to ESAPI pdf)</a></span></font></div>





<div><font face="arial, helvetica, sans-serif"><span style="font-size:small"><br></span></font></div><div><span style="line-height:19px"><b><span style="font-weight:normal;line-height:normal"><font face="arial, helvetica, sans-serif"><span style="font-size:small">4) When adopting EASPI.jar, are we recommending that the developers should adopt or retrofit their existing code on the areas affected by those 9 Security Controls? (i.e. code related to: Authentication, Access control, Input validation, Output encoding/escaping, Cryptography, Error handling and logging, Communication security, HTTP security and Security configuration)<span style="font-family:arial,sans-serif;font-size:13px;line-height:19px"><b><span style="font-weight:normal;line-height:normal"><font face="arial, helvetica, sans-serif"><span style="font-size:small"> </span></font></span></b></span></span></font></span></b></span></div>





<div><span style="line-height:19px"><b><span style="font-weight:normal;line-height:normal"><font face="arial, helvetica, sans-serif"><span style="font-size:small"><br>
</span></font></span></b></span></div><div><span style="line-height:19px"><b><span style="font-weight:normal;line-height:normal"><font face="arial, helvetica, sans-serif"><span style="font-size:small">5) Should we recommend the adoption of ALL 9 Security Controls? or are there some controls that are not ready today (9 Jan 2009) for production environments and should not be recommended? (for example is the &#39;Authentication&#39; control as mature as the &#39;Error handling and logging&#39; control?)</span></font></span></b></span></div>





<div><span style="line-height:19px"><b><span style="font-weight:normal;line-height:normal"><font face="arial, helvetica, sans-serif"><span style="font-size:small"><br>
</span></font></span></b></span></div><div><span style="line-height:19px"><b><span style="font-weight:normal;line-height:normal"><font face="arial, helvetica, sans-serif"><span style="font-size:small">6) Are there commercial (i.e. <span style="font-family:arial,sans-serif;font-size:13px;line-height:19px"><b><span style="font-weight:normal;line-height:normal"><font face="arial, helvetica, sans-serif"><span style="font-size:small">paid) <span style="font-family:arial,sans-serif;font-size:13px;line-height:19px"><b><span style="font-weight:normal;line-height:normal"><font face="arial, helvetica, sans-serif"><span style="font-size:small">support services available for the companies who want to add ESAPI.jar to they application?</span></font></span></b></span></span></font></span></b></span></span></font></span></b></span></div>





<div><span style="line-height:19px"><b><span style="font-weight:normal;line-height:normal"><font face="arial, helvetica, sans-serif"><span style="font-size:small"><br>
</span></font></span></b></span></div><div><font face="arial, helvetica, sans-serif"><span style="font-size:small">7) What is the version of ESAPI.jar that we should recommend? the version 1.4 (which lo</span></font>oks like a stable release) or the version 2.0 rc4 (which looks like it is a Release Candidate)</div>





<div><br></div><div>8) Where can I find the documentation of where and how ESAPI should be used? More importantly, where can I find the information of how it CAN NOT or SHOULD NOT be used (i.e. the cases where even when the EASPI.jar are used, the application is still vulnerable)</div>





<div><br></div><div>9) if there list of companies that have currently added ESAPI.jar to their applications and have deployed it? (i.e. real world usage of EASPI)</div><div><br></div><div>10) Has the recommended ESAPI.jar (1.4 or 2.0 rc4) been through a security review? and if so where can I read its report?</div>





<div><br></div><div>11) <i><b><span style="font-style:normal;font-weight:normal">when Jim says <i>&quot;... you can build a new secure app without an ESAPI. But libs like OWASP ESAPI will get you there faster and cheaper....&quot;, </i></span> </b><span style="font-style:normal">do we have peer-reviewed data that suports this claim? </span></i></div>





<div><i><span style="font-style:normal"><br></span></i></div><div><i><span style="font-style:normal">12) Is there a roadmap or how-to for companies that wish to adopt ESAPI.jar on an a) new application or b) existing real-world application&#39;?</span></i></div>




<div><i><span style="font-style:normal"><br></span></i></div><div><i><span style="font-style:normal">13) What about the current implementations of ESAPI for the other languages. Are we also recommending their use?</span></i></div>





<div><i><span style="font-style:normal"><br></span></i></div><div><i><span style="font-style:normal">14) If a development team decides to use (for example) Spring and ESAPI together in their (new or existing) application, what are the recommended &#39;parts&#39; from each of those APIs (Spring and EASPI) that the developers should be using? (for example: a) use Encoding from ESAPI, b) use Authentication from Spring, c) use Authorization from ESAPI, d) use Error Handling from Spring, e) use Logging from ESAPI, etc...)</span></i></div>




<div><i><span style="font-style:normal"><br></span></i></div><div><i><span style="font-style:normal">Thanks</span></i></div><div><i><span style="font-style:normal"><br>
</span></i></div><div><i><span style="font-style:normal">Dinis Cruz</span></i></div></span>
<br></div></div>_______________________________________________<br>
Esapi-user mailing list<br>
<a href="mailto:Esapi-user@lists.owasp.org" target="_blank">Esapi-user@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/esapi-user" target="_blank">https://lists.owasp.org/mailman/listinfo/esapi-user</a><br>
<br></blockquote></div><br>
</blockquote></div><br></div></div>