<div dir="ltr"><div class="gmail_default" style="font-family:monospace,monospace">Thanks to the fantastic help the OWASP community has recently been providing,<br>ESAPI is planning a new point release including 2 dozen+ bug fixes.<br><br>For those of you who have been helping or are planning to help with ESAPI<br>bug fixes, I just wanted to let you know that I would like to have a tentative<br>code freeze sometime on Sunday, 2016-01-31.  Therefore, if you have are<br>working on any pull requests that you would like merged, please get them in<br>before that date, otherwise then will have to wait until the following<br>release.<br><br>Note this release will *NOT* be fixing the CVE-2013-5960, which requires a<br>design change and is only about 75% or so completed. (Mostly needs<br>the backward compatibility fixed in a manner to prevent roll-back<br>attacks and a lot more JUnit tests.) Because of the previously released<br>ESAPI security bulletin, the fix for CVE-2013-5960 will be put out in<br>release 2.1.1, and this release will be called 2.1.0.1. (The current<br>release, which was deployed in Sept 2013, was release 2.1.0.)<br><br>Up to this point we have closed 25 issues in GitHub and a few more<br>are in the works by Matt Seil and Jeremiah Stacey. For a full list<br>of fixes planned for this release as well as other minor changes,<br>please see the tentative release notes for ESAPI 2.1.0.1, described here:<br><a href="https://drive.google.com/file/d/0B3Yc2oc1Z9n5OVhiNWJJbDltSlk/view?usp=sharing">https://drive.google.com/file/d/0B3Yc2oc1Z9n5OVhiNWJJbDltSlk/view?usp=sharing</a><br><br>Shortly after this release, the GitHub 'master' branch will be frozen and will<br>always reflect the latest official release (point release, full release, or<br>whatever) and we will carry on development / bug fixes on a new 'develop'<br>branch.  The 'develop' branch will become the new default GitHub branch for<br><a href="https://github.com/ESAPI/esapi-java-legacy">https://github.com/ESAPI/esapi-java-legacy</a>. We intend to more or less<br>follow the git work-flow described in Vincent Driessen's blog post<br>"A successful Git branching model", found here:<br>    <a href="http://nvie.com/posts/a-successful-git-branching-model/">http://nvie.com/posts/a-successful-git-branching-model/</a><br><br>I would like to include a list of those of you who have helped make<br>this release a reality in the release notes, so if you have contributed<br>to ESAPI at any time or in any capacity since the previous 2.1.0 release<br>please email me (directly, NOT to the mailing list!) and how you want<br>you name to appear and a brief 1 line description of your contribution<br>and I will make sure your name gets in there. You have until the code<br>freeze date of Jan-31-2016 to get that information to me. (Note that<br>I will *NOT* be including email addresses, Twitter handles, GitHub user<br>names, etc.--only names. Please include at least your first initial<br>as I will not include just last names.)<br><br>If you have questions or comments, please reply to one (or both) of<br>these ESAPI mailing lists. In case someone forwarded you this email,<br>you can find information about subscribing to these lists at:<br><br>    <a href="https://lists.owasp.org/listinfo/esapi-dev">https://lists.owasp.org/listinfo/esapi-dev</a><br>    <a href="https://lists.owasp.org/listinfo/esapi-user">https://lists.owasp.org/listinfo/esapi-user</a><br><br>Thanks all for your help,<br>-kevin<br clear="all"></div>-- <br><div class="gmail_signature"><div dir="ltr"><div class="gmail_signature">Blog: <a href="http://off-the-wall-security.blogspot.com/">http://off-the-wall-security.blogspot.com/</a>    | Twitter: @KevinWWall<br>NSA: All your crypto bit are belong to us.</div></div></div>
</div>