Java安全性与ESAPI

Question

我是一名Java开发人员,负责领导App Security,我偶然发现了OWASP组织及其配套Java API ESAPI.

在几个月前我在这个网站上提出的另一个问题中,有人向我指出ESAPI是开源应用行业的主要参与者.

我现在想知道的是,我确信ESAPI与javax.security.auth认证/授权领域的内置Java安全模型(根据)重叠,也许在其他领域.但是,如果严格遵守Java安全API,那么ESAPI明确解决了app sec的哪些领域是无法实现的？

基本上,我问我是否有必要学习ESAPI,如果它的所有优点/功能已经包含在某些现有的Java API中.提前致谢!

Answer 1

AFAIK,ESAPI也使用java API并添加特定于现实世界威胁的包装器.例如WAF(Web应用程序防火墙),要使用Java API实现这一目标,您将结束编写大量代码,这些代码由ESAPI完成,并且很好地包含在API中,因此,现在如果您想要进行WAF检查,则可以只需用几个方法调用来实现它.

简单来说,ESAPI就像包装库(内置的Java API),它可以减少重新发明轮子并有助于抵消现实世界的安全威胁.

如果您看到此ESAPI API URL,则可以轻松识别ESAPI如何开发API以抵消每种可能的威胁.