web应用防火墙

        像许多其他开源项目一样，ModSecurity 最初只是一种业余爱好而发掘。早在 2002 年，安全生产的 Web 应用程序几乎是不可能的。但是，这种认识让作者产生了一种想法，将该工具置于 Web 应用程序的前面，并控制往返于系统的数据流。

        第一个版本在2002 年 11 月发布（但该工具并未真正投入使用），正式投入使用还是几个月之后。其他人对 ModSecurity的学习了解，ModSecurity流行度开始上升，使用的人开始变多。 起初，ModSecurity的大部分开发工作都花在了与 Apache 的竞争上，以达到ModSecurityde 请求主体检查是否能够实现。

        Apache 1.3.x 不包含任何拦截或过滤 API，但是仍然可以诱使它提交相关操作（合法或者非法）。Apache 2.x 通过提供允许的内容拦截的 API 改善了这种情况，但是没有可依据文档参考。

        到 2004 年，Ivan （作者）从对软件开发的痴迷和业余爱好转变为对 Web 应用程序安全性的痴迷。Ivan辞掉工作，开始将 ModSecurity 视为公司进行发展。在 2006 年夏天，在 Forrester Research 进行的评估中，ModSecurity 与其他 Web 应用程序防火墙并驾齐驱，并取得了不错的成绩。2006年下半年，ModSecurity 被 Breach Security 收购。在收购该团队后，Brian Rectanus 开从事 ModSecurity 工作，Ofer Shezaf 着手制定规则，Ryan C. Barnett 负责社区管理和教育。全面重写的 ModSecurity 2.0 于 2006 年底发布。Breach Security 还发布了 ModSecurity Community Console，该控制台结合了远程日志记录传感器以及监视和报告 GUI 的功能。

        2009 年，Ivan 离开了 Breach Security。他曾参与 ModSecurity 一段时间，但主要从事本书的第一版工作。同时，Ryan C. Barnett 负 责ModSecurity 规则，并通过 Core Rule Set v2 进行了重大改进。在 2010 年，Trustwave 收购了 Breach Security，并承诺要振兴 ModSecurity。然后将该项目交给了 Ryan C. Barnett 和 Breno Silva。

        2011 年 3 月，Trustwave 宣布将 ModSecurity 的许可证从 GPLv2 更改为 Apache Software License （ ASLv2 ）。这是迈向广泛使用ModSecurity 的重要一步，因为 ASL 属于许可广泛应用类别。后来，宣布了与开放 Web 应用程序安全性项目（OWASP）托管的核心规则集项目相同的更改。随后商业 WAF 产品开始合并 ModSecurity 引擎，并添加了 OWASP ModSecurity 核心规则作为默认规则集。在版本ModSecurity 2.7.0 中，ModSecurity 已移植为可与 Nginx 和 IIS Web 服务器一起使用，但是这些端口从未达到原始版本的稳定性。最终导致了重大改写，该改写将能够同样好地支持多个平台。这将成为当前正在开发的 ModSecurity 3.0。

        2013 年，费利佩·科斯塔（Felipe Costa）从布雷诺（Breno）接管了首席开发人员的职位，当Ryan在 2015 年离开 Trustwave 时，他将规则移交给 Chaim Sanders，以支持该项目的编码和社区管理。