<div class="gmail_quote">2011/1/25 Jim Manico <span dir="ltr">&lt;<a href="mailto:jim.manico@owasp.org">jim.manico@owasp.org</a>&gt;</span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
I think we need to split up ESAPI into different usable modules : like a<br>
stand alone encoder, a stand alone validator, a stand alone crypto<br>
module, etc. ESAPI is pretty bulky, with 80+ dependencies and counting.<br>
I think we need more modules, less dependencies and less new features....</blockquote><div><br></div><div>I agree. It&#39;s hard convincing customers to plug in volumes of code. ESAPI discussions in my experience start up as small problems, for instance in validating input somewhere. If I could plug in the validator part of ESAPI the customer could start there, gain confidence in the quality and come back for more when it&#39;s time.</div>
<div><br></div><div>AntiSamy has been easier to get into projects because it&#39;s coherent and relatively small. &quot;Ah, so we add that Maven dependency, pick a policy and start filtering? Good. We&#39;ll try that.&quot;</div>
<div><br></div><div>(I&#39;m not a guru on ESAPI or AntiSamy, these are just my nuggets of experience with them)</div></div><div><br></div><div>   /John</div><br>-- <br>John Wilander, <a href="https://twitter.com/johnwilander" target="_blank">https://twitter.com/johnwilander</a><br>
Chapter co-leader OWASP Sweden, <a href="http://owaspsweden.blogspot.com" target="_blank">http://owaspsweden.blogspot.com</a><div><a href="http://owaspsweden.blogspot.com" target="_blank"></a>Co-organizer Global Summit, <a href="http://www.owasp.org/index.php/Summit_2011" target="_blank">http://www.owasp.org/index.php/Summit_2011</a></div>
<div><a href="http://www.owasp.org/index.php/Summit_2011" target="_blank"></a>Conf Comm, <a href="http://www.owasp.org/index.php/Global_Conferences_Committee" target="_blank">http://www.owasp.org/index.php/Global_Conferences_Committee</a></div>
<br>