<html>
  <head>
    <meta content="text/html; charset=windows-1252"
      http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    You folks should be very proud of this work. I'm thrilled to see
    these updates get pushed live.<br>
    <br>
    It definitely changes my thoughts about recommending ESAPI for Java.<br>
    <br>
    Aloha,<br>
    Jim<br>
    <br>
    <br>
    <div class="moz-cite-prefix">On 1/22/16 7:08 PM, Kevin W. Wall
      wrote:<br>
    </div>
    <blockquote
cite="mid:CAOPE6PinpJDuxdJi3f_v1WeeeeJCx-s9G3Z=jdr_sR_jjwq-tg@mail.gmail.com"
      type="cite">
      <div dir="ltr">
        <div class="gmail_default"
          style="font-family:monospace,monospace">Thanks to the
          fantastic help the OWASP community has recently been
          providing,<br>
          ESAPI is planning a new point release including 2 dozen+ bug
          fixes.<br>
          <br>
          For those of you who have been helping or are planning to help
          with ESAPI<br>
          bug fixes, I just wanted to let you know that I would like to
          have a tentative<br>
          code freeze sometime on Sunday, 2016-01-31.  Therefore, if you
          have are<br>
          working on any pull requests that you would like merged,
          please get them in<br>
          before that date, otherwise then will have to wait until the
          following<br>
          release.<br>
          <br>
          Note this release will *NOT* be fixing the CVE-2013-5960,
          which requires a<br>
          design change and is only about 75% or so completed. (Mostly
          needs<br>
          the backward compatibility fixed in a manner to prevent
          roll-back<br>
          attacks and a lot more JUnit tests.) Because of the previously
          released<br>
          ESAPI security bulletin, the fix for CVE-2013-5960 will be put
          out in<br>
          release 2.1.1, and this release will be called 2.1.0.1. (The
          current<br>
          release, which was deployed in Sept 2013, was release 2.1.0.)<br>
          <br>
          Up to this point we have closed 25 issues in GitHub and a few
          more<br>
          are in the works by Matt Seil and Jeremiah Stacey. For a full
          list<br>
          of fixes planned for this release as well as other minor
          changes,<br>
          please see the tentative release notes for ESAPI 2.1.0.1,
          described here:<br>
          <a moz-do-not-send="true"
href="https://drive.google.com/file/d/0B3Yc2oc1Z9n5OVhiNWJJbDltSlk/view?usp=sharing">https://drive.google.com/file/d/0B3Yc2oc1Z9n5OVhiNWJJbDltSlk/view?usp=sharing</a><br>
          <br>
          Shortly after this release, the GitHub 'master' branch will be
          frozen and will<br>
          always reflect the latest official release (point release,
          full release, or<br>
          whatever) and we will carry on development / bug fixes on a
          new 'develop'<br>
          branch.  The 'develop' branch will become the new default
          GitHub branch for<br>
          <a moz-do-not-send="true"
            href="https://github.com/ESAPI/esapi-java-legacy">https://github.com/ESAPI/esapi-java-legacy</a>.
          We intend to more or less<br>
          follow the git work-flow described in Vincent Driessen's blog
          post<br>
          "A successful Git branching model", found here:<br>
              <a moz-do-not-send="true"
            href="http://nvie.com/posts/a-successful-git-branching-model/">http://nvie.com/posts/a-successful-git-branching-model/</a><br>
          <br>
          I would like to include a list of those of you who have helped
          make<br>
          this release a reality in the release notes, so if you have
          contributed<br>
          to ESAPI at any time or in any capacity since the previous
          2.1.0 release<br>
          please email me (directly, NOT to the mailing list!) and how
          you want<br>
          you name to appear and a brief 1 line description of your
          contribution<br>
          and I will make sure your name gets in there. You have until
          the code<br>
          freeze date of Jan-31-2016 to get that information to me.
          (Note that<br>
          I will *NOT* be including email addresses, Twitter handles,
          GitHub user<br>
          names, etc.--only names. Please include at least your first
          initial<br>
          as I will not include just last names.)<br>
          <br>
          If you have questions or comments, please reply to one (or
          both) of<br>
          these ESAPI mailing lists. In case someone forwarded you this
          email,<br>
          you can find information about subscribing to these lists at:<br>
          <br>
              <a moz-do-not-send="true"
            href="https://lists.owasp.org/listinfo/esapi-dev">https://lists.owasp.org/listinfo/esapi-dev</a><br>
              <a moz-do-not-send="true"
            href="https://lists.owasp.org/listinfo/esapi-user">https://lists.owasp.org/listinfo/esapi-user</a><br>
          <br>
          Thanks all for your help,<br>
          -kevin<br clear="all">
        </div>
        -- <br>
        <div class="gmail_signature">
          <div dir="ltr">
            <div class="gmail_signature">Blog: <a
                moz-do-not-send="true"
                href="http://off-the-wall-security.blogspot.com/"><a class="moz-txt-link-freetext" href="http://off-the-wall-security.blogspot.com/">http://off-the-wall-security.blogspot.com/</a></a>   
              | Twitter: @KevinWWall<br>
              NSA: All your crypto bit are belong to us.</div>
          </div>
        </div>
      </div>
      <br>
      <fieldset class="mimeAttachmentHeader"></fieldset>
      <br>
      <pre wrap="">_______________________________________________
Esapi-dev mailing list
<a class="moz-txt-link-abbreviated" href="mailto:Esapi-dev@lists.owasp.org">Esapi-dev@lists.owasp.org</a>
<a class="moz-txt-link-freetext" href="https://lists.owasp.org/mailman/listinfo/esapi-dev">https://lists.owasp.org/mailman/listinfo/esapi-dev</a>
</pre>
    </blockquote>
    <br>
  </body>
</html>