<div dir="ltr">easy there Chris, Jim is making valid points and although I am a big fan of the ESAPI concept (and have written about it <a href="http://blog.diniscruz.com/2010/01/couple-more-comments-on-esapi-and.html">here</a>,  <a href="http://blog.diniscruz.com/2011/06/estapi-idea.html">here</a> and <a href="http://blog.diniscruz.com/2010/01/recommending-esapi.html">here</a>) it is not as healthy as it was a while back.<div>
<br></div><div>As a fellow OWASP leader that is also working hard on an OWASP project, it is our job to accept and understand the comments made about our efforts/projects.</div><div><br></div><div>Like I have already mentioned before, I'm jealous about the criticism that ESAPI gets, because it means that people care about it :)</div>
<div><br></div><div>In the O2 Plaform, even after <a href="http://blog.diniscruz.com/search/label/O2%20Platform">192 blog posts</a> and a gazilion of innovations, I'm still mainly at the stage<i>  </i>of <i>'... interresting ... but I have no idea how to use it? btw where is the documentation'</i> :)<br>
<div><br></div><div>In fact, I'm even trying to contribute to ESAPI and AppSensor since I last month (with colin) I was able to consume ESAPI from O2. See <a href="http://blog.diniscruz.com/2013/05/first-execution-of-easpijar-encoder.html">First execution of ESAPI.jar Encoder methods from O2's C# REPL</a>  which is a follow-up from my previous attempt: <a href="http://blog.diniscruz.com/2013/03/loading-owasp-esapi-jar-and-its.html">Loading OWASP ESAPI jar and its dependencies from C# (using jni4net)</a> </div>
</div><div><br></div><div style>ESAPI is in a hard position and needs help/focus, and I don't think that blaming Jim for voicing his opinion (which I share) is the right way about it. In fact, Chris, I would recommend that one of your personal goals for ESAPI in 2013 is to change Jim's mind and get him to recommend ESAPI again (and I remember going back a couple years when Jim was the BIGGEST ESAPI FAN in world, and I got into a lot of trouble by voicing my concerns about ESAPI)</div>
<div style><br></div><div style>We need more comments and honest feedback at OWASP, that is the only way our projects will grow.</div><div style><br></div><div style>And yes, the O2 Platform still sucks in lot of ways, but (slowly) there are more users actually using it, and I am able to do things with it that I couldn't do a year ago (for example <a href="http://blog.diniscruz.com/2013/05/downloading-entire-nuget-package.html">Downloading the entire NuGet package database</a>  or <a href="http://blog.diniscruz.com/2013/05/grab-coffee-first-using-ast-to.html">(grab a coffee first) Using AST to programatically create a Proxy class for a WSDL webservice (in this case HacmeBank and Checkmarx ASMX)</a>  or <a href="http://blog.diniscruz.com/2013/01/gui-with-webstorm-controlling-3.html">GUI with WebStorm and JsTestDriver controlling 3 Hijacked Browser windows (Chrome, Firefox and IE)</a>  ), so I know that O2 is going in the right direction :) </div>
<div style><br></div><div style>It's just a long and (mostly) lonely road :)</div><div style><br></div><div style>Dinis</div><div class="gmail_extra"><br clear="all"><div><br>Dinis Cruz<br><br>Blog: <a href="http://diniscruz.blogspot.com">http://diniscruz.blogspot.com</a><br>
Twitter: <a href="http://twitter.com/DinisCruz">http://twitter.com/DinisCruz</a><br>Web: <a href="http://www.owasp.org/index.php/O2">http://www.owasp.org/index.php/O2</a></div>
<br><br><div class="gmail_quote">On 28 March 2013 19:19, Chris Schmidt <span dir="ltr"><<a href="mailto:chris.schmidt@owasp.org" target="_blank">chris.schmidt@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
I feel a more constructive approach to most of these issues is to propose<br>
them in a way that is non-confrontational and proposes solutions.<br>
<br>
1) The singleton pattern, while a valid approach to solve some problems is<br>
overused in the ESAPI project - perhaps adding an option, as Spring<br>
Framework does, to enable the singleton pattern over a default Flyweight<br>
or Factory pattern would be a better approach to object distribution in<br>
ESAPI.<br>
<br>
2) There are quite a few open bugs in the ESAPI project that *I* feel are<br>
important - so I have up voted and commented on them with potential ideas<br>
that could help resolve the problems.<br>
<br>
3) I noticed that there hasn't been a lot of commit activity on the<br>
project since last July - I feel this is an important project so I have<br>
leveraged my voice as a prominent member of the OWASP community to see if<br>
I can get some additional volunteers to help you guys address the issues<br>
that I mentioned above.<br>
<br>
We are an open organization of volunteers and there are a lot of projects<br>
under the OWASP umbrella, there are a select few of us who champion the<br>
OWASP projects cause and we are all busy individuals. Calling anyones baby<br>
ugly and not providing constructive feedback for a project within our own<br>
organization only hurts our common mission and as such I think it is<br>
important that we all self-moderate our comments with regards to any OWASP<br>
project. Healthy debate is healthy and I (and most others within the<br>
organization that I have had the pleasure of meeting and/or working with)<br>
openly and warmly accept any and all feedback, but when it is constructive<br>
and meaningful it helps all of us.<br>
<br>
Further, there is an appropriate channel for this conversation and I don't<br>
feel that channel is the leaders list. Sebastian asked a valid question<br>
after not getting a response on the ESAPI dev list, and answering his<br>
question then taking this conversation to the dev list would have been the<br>
appropriate move.<br>
<br>
I currently wear the mantle of ESAPI leadership and one of my<br>
responsibilities as the leader for one of the most visible OWASP projects<br>
is to be aware of how I am performing my own job. I will happily<br>
relinquish my leadership role if anyone feels that I am not adequately<br>
filling the role and will continue to contribute to the project because I<br>
believe in the mission of ESAPI. Remember just because you may not see the<br>
work going on doesn't mean that work isn't happening. As I said in other<br>
messages - ESAPI is a large and very visible project and making rash<br>
decisions that introduce incompatibilities will not help anyone -<br>
compounded with the fact that we (Kevin and I) are both working on this<br>
while very busy with other responsibilities means that change may not be<br>
happening as quickly as anyone may like it too - but it is happening.<br>
<br>
I will happily continue this conversation in the appropriate channel if<br>
you would like to further discuss it and anyone is welcome to join in to<br>
the conversation on the ESAPI-Dev mailing list if they have ideas,<br>
opinions, or comments in general. Let's keep conversation on the leaders<br>
list on topic for the leaders list.<br>
<br>
</soapbox><br>
<div class="HOEnZb"><div class="h5"><br>
<br>
<br>
On 3/28/13 12:32 PM, "Jim Manico" <<a href="mailto:jim.manico@owasp.org">jim.manico@owasp.org</a>> wrote:<br>
<br>
>Chris,<br>
><br>
>I agree that ESAPI is not dead, and I'm eager to see you and others<br>
>return to actively working on the project.<br>
><br>
>But I do objectively feel that it's not a release quality project and I<br>
>no longer recommend that organizations use it. I think it's a great<br>
>research project, but other projects trump ESAPI in terms of quality and<br>
>activity like I mentioned earlier.<br>
><br>
>1) The singleton is a fundamental design flaw and needs to be removed<br>
>2) The project has a large number of active bugs, many of these are VERY<br>
>significant <a href="https://code.google.com/p/owasp-esapi-java/issues/list" target="_blank">https://code.google.com/p/owasp-esapi-java/issues/list</a><br>
>3) There has not been major coding activity on ESAPI for Java since July<br>
>2012.<br>
><br>
>When these things change, I'll change my tune.<br>
><br>
>- Jim<br>
><br>
>> Sebastian and all -<br>
>><br>
>> While we try to monitor what is happening on the list all the time,<br>
>>understandably we all get busy from time to time. That being said, the<br>
>>ESAPI project is far from dead. Sebastian, feel free to contact Jeff and<br>
>>Myself off-list and we would be more than happy to address any questions<br>
>>that you have! Thanks!<br>
>><br>
>> ~Chris<br>
>><br>
>> From: Samantha Groves<br>
>><<a href="mailto:samantha.groves@owasp.org">samantha.groves@owasp.org</a><mailto:<a href="mailto:samantha.groves@owasp.org">samantha.groves@owasp.org</a>>><br>
>> Date: Thursday, March 28, 2013 11:10 AM<br>
>> To: Konstantinos Papapanagiotou<br>
>><<a href="mailto:Konstantinos@owasp.org">Konstantinos@owasp.org</a><mailto:<a href="mailto:Konstantinos@owasp.org">Konstantinos@owasp.org</a>>><br>
>> Cc: "<a href="mailto:spyrosgaster@gmail.com">spyrosgaster@gmail.com</a><mailto:<a href="mailto:spyrosgaster@gmail.com">spyrosgaster@gmail.com</a>>"<br>
>><<a href="mailto:spyrosgaster@gmail.com">spyrosgaster@gmail.com</a><mailto:<a href="mailto:spyrosgaster@gmail.com">spyrosgaster@gmail.com</a>>>, Leaders<br>
>><<a href="mailto:owasp-leaders@lists.owasp.org">owasp-leaders@lists.owasp.org</a><mailto:<a href="mailto:owasp-leaders@lists.owasp.org">owasp-leaders@lists.owasp.org</a>>><br>
>> Subject: Re: [Owasp-leaders] Fwd: Getting in touch with the leader ?<br>
>><br>
>> Agreed.<br>
>><br>
>> Can I get a list of names of the individuals actively contributing to<br>
>>this project. I need to update our records.<br>
>><br>
>> Additionally, I need someone to volunteer to manage requests and<br>
>>questions that come into the ESAPI mailing list. Please message me if<br>
>>you are interested. This person will be responsible for answering<br>
>>questions, and liaising between contributors and the community.<br>
>><br>
>> Thank you, Leaders.<br>
>><br>
>> Sam G.<br>
>><br>
>> On Thu, Mar 28, 2013 at 4:47 PM, Konstantinos Papapanagiotou<br>
>><<a href="mailto:Konstantinos@owasp.org">Konstantinos@owasp.org</a><mailto:<a href="mailto:Konstantinos@owasp.org">Konstantinos@owasp.org</a>>> wrote:<br>
>> All,<br>
>><br>
>> Spyros (cc-ed as he's not on the leaders list) is also already working<br>
>>on an ESAPI for PHP rewrite and actually a few days ago also tried to<br>
>>get in touch with someone on the ESAPI mailing lists.<br>
>> Since apparently people are working on it we should have some kind of<br>
>>co-ordination.<br>
>><br>
>> Kostas<br>
>><br>
>><br>
>> On Thursday, March 28, 2013, Abbas Naderi wrote:<br>
>> Hello<br>
>> We're doing some PHP security project, which would hopefully result in<br>
>>a rewrite of ESAPI. the current ESAPI PHP is 100% against PHP<br>
>>programming values.<br>
>> Thanks<br>
>> -Abbas<br>
>> On ۸ فروردین ۱۳۹۲, at ۱۷:۴۷, Samantha Groves<br>
>><<a href="mailto:samantha.groves@owasp.org">samantha.groves@owasp.org</a>> wrote:<br>
>><br>
>> Hello All,<br>
>><br>
>> Chris Schmidt & Kevin Wall are both co-leading this project at the<br>
>>moment. A few months ago, we put together a proposal for funding from<br>
>>the DHS that included a management and technical management roadmap that<br>
>>we submitted for funding. We have been waiting for a decision.<br>
>><br>
>> I have just gotten word from DHS that funding for their programs has<br>
>>now been approved for 2013. The last I heard is that our ESAPI Project<br>
>>proposal was in round two of reviews. In answer to your questions, ESAPI<br>
>>is not dead, we were just placed at a halt after our proposal was<br>
>>submitted to DHS.<br>
>><br>
>> I hope this clears thing up. Let me know if you have questions,<br>
>>concerns, etc.<br>
>><br>
>> Cheers now, All.<br>
>><br>
>> SG<br>
>><br>
>> On Thu, Mar 28, 2013 at 11:27 AM, vanderaj vanderaj<br>
>><<a href="mailto:vanderaj@owasp.org">vanderaj@owasp.org</a>> wrote:<br>
>> I thought that Chris Schmidt had taken over the helm of ESAPI?<br>
>><br>
>> thanks,<br>
>> Andrew<br>
>><br>
>><br>
>> On Thu, Mar 28, 2013 at 9:11 PM, Sebastien Gioria<br>
>><<a href="mailto:sebastien.gioria@owasp.org">sebastien.gioria@owasp.org</a>> wrote:<br>
>> No news from anyone ? Is ESAPI dev definitively dead ?<br>
>><br>
>> I'm in touch with a new potential big corporate member who has<br>
>> integrate ESAPI in his product and have problem. Any value for them<br>
>> before making they membership could be the OWASP capacity to be in<br>
>> touch with the leader of the ESAPI Java.<br>
>><br>
>> We (France) are in touch with them to Host the First OWASP France Day<br>
>> and many more other opportunity.<br>
>><br>
>> It's really a big reference for OWASP if we have it.<br>
>><br>
>> Thanks.<br>
>><br>
>><br>
>> ---------- Forwarded message ----------<br>
>> From: Sebastien Gioria <<a href="mailto:sebastien.gioria@owasp.org">sebastien.gioria@owasp.org</a>><br>
>> Date: 2013/3/26<br>
>> Subject: Getting in touch with the leader ?<br>
>> To: owasp-esapi-dev <<a href="mailto:owasp-esapi-dev@owasp.org">owasp-esapi-dev@owasp.org</a>><br>
>> Cc : Jeff Williams <<a href="mailto:jeff.williams@owasp.org">jeff.williams@owasp.org</a>><br>
>><br>
>><br>
>> Hi guys,<br>
>><br>
>> I'm not sure Jeff is always the leader of the JavaEE ESAPI project,<br>
>> and I need to be in touch with the leader of the project for some<br>
>> related presentations and experiences exchange with a big french<br>
>> company.<br>
>><br>
>> Thanks in advance<br>
>><br>
>><br>
>> --<br>
>> OWASP French Chapter Leader<br>
>> GSM: <a href="tel:%2B33%206%2070%2059%2011%2044" value="+33670591144">+33 6 70 59 11 44</a><br>
>><br>
>><br>
>> --<br>
>> OWASP French Chapter Leader<br>
>> GSM: <a href="tel:%2B33%206%2070%2059%2011%2044" value="+33670591144">+33 6 70 59 11 44</a><br>
>> _______________________________________________<br>
>> OWASP-Leaders mailing list<br>
>> <a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
>> <a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
>><br>
>><br>
>> _______________________________________________<br>
>> OWASP-Leaders mailing list<br>
>> <a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
>> <a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
>><br>
>><br>
>><br>
>><br>
>> --<br>
>> Samantha Groves, MBA<br>
>> OWASP Project Manager<br>
>><br>
>> The OWASP Foundation<br>
>><br>
>><br>
>><br>
>> --<br>
>><br>
>> Samantha Groves, MBA<br>
>><br>
>> OWASP Project Manager<br>
>><br>
>><br>
>> The OWASP Foundation<br>
>><br>
>> Lisbon, Portugal<br>
>><br>
>> Email: <a href="mailto:samantha.groves@owasp.org">samantha.groves@owasp.org</a><mailto:<a href="mailto:samantha.groves@owasp.org">samantha.groves@owasp.org</a>><br>
>><br>
>> Skype: samanthahz<br>
>><br>
>><br>
>> OWASP Global<br>
>>Projects<<a href="https://www.owasp.org/index.php/Category:OWASP_Project" target="_blank">https://www.owasp.org/index.php/Category:OWASP_Project</a>><br>
>><br>
>> Book a Meeting with Me<<a href="http://goo.gl/mZXdZ" target="_blank">http://goo.gl/mZXdZ</a>><br>
>><br>
>> OWASP Contact US Form<<a href="http://owasp4.owasp.org/contactus.html" target="_blank">http://owasp4.owasp.org/contactus.html</a>><br>
>><br>
>> New Project Application<br>
>>Form<<a href="https://docs.google.com/a/owasp.org/spreadsheet/viewform?formkey=dHZ" target="_blank">https://docs.google.com/a/owasp.org/spreadsheet/viewform?formkey=dHZ</a><br>
>>fWGhHZ0Z4UFFwZU42djBXcVVLSlE6MQ#gid=0><br>
>><br>
>><br>
>><br>
>><br>
>> _______________________________________________<br>
>> OWASP-Leaders mailing list<br>
>> <a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
>> <a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
>><br>
><br>
>_______________________________________________<br>
>OWASP-Leaders mailing list<br>
><a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
><a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br>
<br>
_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
</div></div></blockquote></div><br></div></div>