ESAPI
5.3.1 ESAPI
La librería OWASP Enterprise Security API (ESAPI) library es una librería de controles de seguridad para aplicaciones web escritas en Java.
La librería ESAPI es un proyecto de Laboratorio OWASP que se encuentra en desarrollo activo para controles de seguridad de Java con lanzamientos regulares.
¿Qué es la librería ESAPI?
La librería OWASP Enterprise Security API (ESAPI) proporciona un conjunto de interfaces de control de seguridad que definen los tipos de parámetros que se pasan a los controles de seguridad.
ESAPI es una librería de controles de seguridad para aplicaciones web de código abierto que facilita a los programadores de Java escribir aplicaciones con menor riesgo. La librería Java de ESAPI está diseñada para ayudar a los programadores a incorporar seguridad sobre aplicaciones Java existentes, y la librería también sirve como una base sólida para nuevos desarrollos.
¿Por qué usarla?
El uso de la librería Java ESAPI no es fácil de justificar, aunque su uso ciertamente debe ser considerado. Las decisiones de ingeniería que un equipo de desarrollo necesitará tomar al usar ESAPI se discuten en el documento ‘¿Debería usar ESAPI?’.
Para proyectos nuevos o para modificar un proyecto existente, se deberían considerar seriamente las alternativas:
- Codificación de salida: Proyecto OWASP Java Encoder
- Sanitización general de HTML: OWASP Java HTML Sanitizer
- Validación: JSR-303/JSR-349 Bean Validation
- Criptografía fuerte: Google Tink o Keyczar
- Autenticación y autorización: Apache Shiro, autenticación usando Spring Security
- Protección CSRF: Proyecto OWASP CSRFGuard
Se podría considerar el uso de ESAPI si múltiples controles de seguridad proporcionados por esta librería se utilizan en un proyecto; entonces podría ser útil usar la librería monolítica ESAPI en lugar de múltiples librerías de clases dispares.
Cómo usarla
Si la decisión de ingeniería es usar la librería ESAPI, entonces puede descargarse como un archivo de paquete Java Archive (.jar). Hay una implementación de referencia para cada control de seguridad.
Referencias
- ESAPI para Java
- Documentación de ESAPI
- Proyecto ESAPI
- Proyecto Java Encoder de OWASP
- Java HTML Sanitizer
- Spring Security
Traducción de versión original en inglés.
La Guía para Desarrolladores de OWASP es un esfuerzo comunitario; si hay algo que necesita cambiarse, cree un issue o edítelo en GitHub.
\newpage