Sono uno sviluppatore Java che si sta dirigendo verso la strada che porta a App Security, e mi sono imbattuto nell'organizzazione OWASP e nella sua API Java associata, ESAPI.Java Security vs. ESAPI
In un'altra domanda che ho chiesto su questo sito mesi fa, mi è stato fatto notare che ESAPI è uno dei principali attori nel settore delle app open source.
Quello che mi chiedo ora è, sono sicuro che ESAPI si sovrappone al modello di sicurezza Java integrato (con radice a javax.security.auth
) nelle aree di autenticazione/autorizzazione e forse in altre aree. Ma ci sono aree di app sec che ESAPI chiaramente indirizzi che non possono essere raggiunti se si aderisce strettamente con l'API di sicurezza Java?
Fondamentalmente, sto chiedendo se ha senso per me imparare ESAPI se tutti i suoi vantaggi/funzionalità sono già coperti in alcune API Java esistenti. Grazie in anticipo!
Grazie thinksteep! Questo significa che utilizzando ESAPI nella sua massima estensione, non avrei bisogno di implementare o configurare alcun elemento specifico dell'API Java, come un SecurityManager?Fondamentalmente, sto chiedendo se l'uso di ESAPI può coprire tutte le basi fornite dal modello di sicurezza integrato di Java. Grazie ancora! – IAmYourFaja
Si può finire con la configurazione ESAPI. Ricorda che non puoi assolutamente evitare configurazioni. Questi sono i parametri di guida per qualsiasi software. – kosa