
<html>

  <head>


    <meta http-equiv="content-type" content="text/html; charset=ISO-8859-1">

  </head>

  <body bgcolor="#FFFFFF" text="#000000">

    This makes me very sad.<br>

    <br>

    <u>Flagship Code Projects</u><br>

    <br>

    * OWASP AntiSamy Project  <  Abandoned, had to pay someone to

    update the wiki, not project leads. Roadmap is from 2011, no

    updates, etc.<br>

    <br>

    * OWASP Enterprise Security API <  Abandoned, wiki out of date,

    old template, no code changes, we paid good money to have a

    codeathon in NYC and got... nothing.<br>

    <br>

    * WASP CSRFGuard Project <  Somewhat being maintained, abandoned

    by author but picked up by another leaders, but is a horrific design

    and only works on the most basic of websites. This is a bad bad

    design for complex web 2.0 applications (since it uses JavaScript to

    inject tokes into the DOM which is fraught with error). <br>

    <br>

    * OWASP ModSecurity Core Rule Set Project <  Awesome updates,

    wiki updated by project owner,

    <a class="moz-txt-link-freetext"

href="https://www.owasp.org/index.php/Category:OWASP_ModSecurity_Core_Rule_Set_Project">https://www.owasp.org/index.php/Category:OWASP_ModSecurity_Core_Rule_Set_Project</a><br>

    <br>

    I've been helping manage several production quality, highly scalable

    secure coding components (that were written by PhD level software

    engineers) and I'm sad to see them still stuck in incubator.  We

    also have projects like Dependency Check that are incredibly

    fantastic tools, still stuck in incubator.<br>

    <br>

    Samantha has been working hard on this, but every time I see our

    project list it really upsets me because when dev folks really try

    to use these components; it's so far from production quality that it

    makes us look really bad. No wonder we can't really get developers

    to be a part of our community or use our stuff.<br>

    <br>

    I am sure I will get flack for this, but I stand by my opinions that

    this is something that is critical to fix at OWASP. I was recently

    trying to get a software company to be the first top tier corporate

    sponsor, but as part of this, they looked at our flagship projects

    and wiki, saw how crusty they both were, and said "no way". Sad.<br>

    <br>

    - Jim<br>

  </body>

</html>