像许多其他开源项目一样,ModSecurity 最初只是一种业余爱好而发掘。早在 2002 年,安全生产的 Web 应用程序几乎是不可能的。但是,这种认识让作者产生了一种想法,将该工具置于 Web 应用程序的前面,并控制往返于系统的数据流。
第一个版本在2002 年 11 月发布(但该工具并未真正投入使用),正式投入使用还是几个月之后。其他人对 ModSecurity的学习了解,ModSecurity流行度开始上升,使用的人开始变多。 起初,ModSecurity的大部分开发工作都花在了与 Apache 的竞争上,以达到ModSecurityde 请求主体检查是否能够实现。
Apache 1.3.x 不包含任何拦截或过滤 API,但是仍然可以诱使它提交相关操作(合法或者非法)。Apache 2.x 通过提供允许的内容拦截的 API 改善了这种情况,但是没有可依据文档参考。
到 2004 年,Ivan (作者)从对软件开发的痴迷和业余爱好转变为对 Web 应用程序安全性的痴迷。Ivan辞掉工作,开始将 ModSecurity 视为公司进行发展。在 2006 年夏天,在 Forrester Research 进行的评估中,ModSecurity 与其他 Web 应用程序防火墙并驾齐驱,并取得了不错的成绩。2006年下半年,ModSecurity 被 Breach Security 收购。在收购该团队后,Brian Rectanus 开从事 ModSecurity 工作,Ofer Shezaf 着手制定规则,Ryan C. Barnett 负责社区管理和教育。全面重写的 ModSecurity 2.0 于 2006 年底发布。Breach Security 还发布了 ModSecurity Community Console,该控制台结合了远程日志记录传感器以及监视和报告 GUI 的功能。
2009 年,Ivan 离开了 Breach Security。他曾参与 ModSecurity 一段时间,但主要从事本书的第一版工作。同时,Ryan C. Barnett 负 责ModSecurity 规则,并通过 Core Rule Set v2 进行了重大改进。在 2010 年,Trustwave 收购了 Breach Security,并承诺要振兴 ModSecurity。然后将该项目交给了 Ryan C. Barnett 和 Breno Silva。
2011 年 3 月,Trustwave 宣布将 ModSecurity 的许可证从 GPLv2 更改为 Apache Software License ( ASLv2 )。这是迈向广泛使用ModSecurity 的重要一步,因为 ASL 属于许可广泛应用类别。后来,宣布了与开放 Web 应用程序安全性项目(OWASP)托管的核心规则集项目相同的更改。随后商业 WAF 产品开始合并 ModSecurity 引擎,并添加了 OWASP ModSecurity 核心规则作为默认规则集。在版本ModSecurity 2.7.0 中,ModSecurity 已移植为可与 Nginx 和 IIS Web 服务器一起使用,但是这些端口从未达到原始版本的稳定性。最终导致了重大改写,该改写将能够同样好地支持多个平台。这将成为当前正在开发的 ModSecurity 3.0。
2013 年,费利佩·科斯塔(Felipe Costa)从布雷诺(Breno)接管了首席开发人员的职位,当Ryan在 2015 年离开 Trustwave 时,他将规则移交给 Chaim Sanders,以支持该项目的编码和社区管理。
扫一扫
1806
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
