Soy un desarrollador de Java que se dirige hacia el camino que lleva a App Security, y me encontré con la organización OWASP y su API complementaria Java, ESAPI.Java Security contra ESAPI
En otra pregunta que hice en este sitio hace meses, se me indicó que ESAPI es un jugador importante en la industria de la aplicación de código abierto.
Lo que me pregunto ahora es, estoy seguro de que ESAPI se superpone con el modelo de seguridad incorporado de Java (rooteado en javax.security.auth
) en las áreas de autenticación/autorización, y tal vez en otras áreas. ¿Pero hay áreas de aplicación seg que ESAPI aborda claramente que no se pueden lograr si uno se apega estrictamente a la API de seguridad de Java?
Básicamente, estoy preguntando si tiene sentido para mí aprender ESAPI si todas sus ventajas/características ya están cubiertas en alguna API Java existente. ¡Gracias por adelantado!
Gracias thinksteep! ¿Esto significa que al usar ESAPI en toda su extensión, no necesitaría implementar o configurar ningún elemento específico de la API de Java, como un SecurityManager?Básicamente, estoy preguntando si el uso de ESAPI puede cubrir todas las bases proporcionadas por el modelo de seguridad incorporado de Java. ¡Gracias de nuevo! – IAmYourFaja
Puede terminar con la configuración de ESAPI. Recuerde que no puede evitar completamente las configuraciones. Esos son los parámetros de conducción para cualquier software. – kosa