У міру розвитку індустрії фахівці з безпеки черпають все нову і нову інформацію. Але як зрозуміти, що знань досить?

Наведені нижче ресурси є свого роду стартовим набором для фахівців, які хочуть писати більш безпечний код і навчитися виявляти уразливості, перш ніж код перейде в продакшн.

У цій статті Кейд Кернс з ThoughtWorks і Деніел Сомерфілд з New Relic описали вісім фішок безпеки при створенні веб-додатків.

Ця стаття допоможе зрозуміти і розібратися в HTTPS і CSP, а також дізнатися, як визначити, чи був зламаний ваш сайт, і що з цим робити.

Відповідь на це питання розміщений на Stack Overflow. Він дає хорошу базу знань в області ключових принципів безпеки. Це такі принципи, як: не довіряти ніякому вхідного сигналу, використовувати глибоку захист, дотримуватися принципу найменших привілеїв і використовувати моделювання загрози. У відповідях також є списки книг і навчальних курсів.

Спільнота Open Web Application Security Project (OWASP) створило цей ресурс, щоб фахівці могли отримати рекомендації, необхідні для створення безпечних додатків на етапі проектування. Там можна знайти ключові принципи безпеки, їх визначення і приклади, дізнатися про десяти найпоширеніших загрози на сьогоднішній день.

Ця часто рекомендована книга була написана фахівцями з безпеки Microsoft Майклом Ховардом і Девідом Лебланом. Поряд з методами безпечного кодування, книга охоплює такі теми:

• моделювання загроз
• проектування процесу безпеки
• міжнародні питання безпеки
• питання файлової системи
• додавання конфіденційності до додатків
• дослідження коду безпеки

Джим Берд, технічний директор BIDS Trading Technologies, говорить, що хоч книзі і 15 років, але основи безпеки програмного забезпечення залишаються незмінними.

У OWASP Top 10 наведено кілька типових на сьогоднішній день загрози безпеки в веб-додатках. Незважаючи на те, що деякі фахівці вже втомилися чути про Топ 10, є вагома причина, по якій експерти з безпеки вважають його одним з найбільш важливих ресурсів в області безпечного кодування. OWASP Top 10 найбільш фундаментальна ресурсом з безпеки додатків, тому кожен поважаючий себе фахівець повинен безпосередньо з ним працювати. Список був оновлений в 2017 році, але він не сильно змінився за останнє десятиліття.

У OWASP також є список Топ-10 загроз безпеки мобільних пристроїв. Мобільна безпека вимагає унікального напряму досліджень, тому в додаток до читання цих ресурсів, не забудьте закріпити пройдений матеріал.

Ця книга написана працівниками Microsoft і генеральним директором Capsule 8. Вона присвячена стандартним загрозам, коли справа доходить до недоліків безпеки в вашому коді. У ній можна знайти і деякі загрози з OWASP, а також кілька інших загроз, які не входять до Top 10 OWASP.

Один з ключових ресурсів з навчання. Більшість ресурсів і навчальних курсів зосереджені на тому, щоб показати, як ваш код може бути атакований, і розповісти, що потрібно робити, щоб цього не сталося. Тут же можна знайти список дій, які необхідно виконати безпосередньо для захисту коду.

Це список найбільш поширених загроз безпеки. Він включає в себе понад 700 слабких місць, які можна побачити в дослідженнях і розробках. Ресурс також корисний для розробників, які хочуть дізнатися про CVE.

Базові знання безпечного кодування безумовно важливі, але також потрібно знати, які інструменти і процеси можуть забезпечити безпеку коду протягом усього життєвого циклу розробки програмного забезпечення. Ця книга від BIDS Trading Technologies 'Bird дасть ясну практичну картину декількох сучасних ланцюжків безпечного життєвого циклу і процесів, натхнених Etsy, Netflix і іншими технічними сильними, дуже успішними компаніями.

Ця книга написана Лауром Білому, Річем Смітом, Майклом Брунтон-Сполл і Джимом Бердом. Вона розширює теми, описані в книзі DevSecOps, яка готує фахівців до багатьох технічних і організаційних проблем, з якими вони можуть зіткнутися при створенні безпечного ПО.

Перевірка коду - важливий крок у виявленні вразливостей системи безпеки. Вивчення того, як шукати ці самі уразливості, підвищить шанси розробників уникати подібних помилок.

Моделювання загроз - це те, що можуть зрозуміти навіть гуманітарії, що працюють у Вашій організації. Шон Галлахер, редактор з інформаційної безпеки в Ars Technica, написав цю статтю, щоб кожен міг змоделювати конкретні ситуації.

OWASP Application Threat Modeling - це ресурс моделювання загроз. Він працює в три етапи:

• аналіз додатки
• визначення ступеня загрози
• визначення заходів усунення або пом'якшення проблеми.

Джоанна Куріель, фахівець з безпеки додатків в банківській сфері, рекомендує OWASP, так як ресурс охоплює широкий спектр тем в області безпеки: безпека PHP, захист iOS і Android, XML, saml і багато іншого.

У статті Денні Диллона, головного спеціаліста з безпеки EMC, пояснюється, чому організатори повинні користуватися моделюванням загроз. Автор описує унікальний підхід EMC до цієї справи і пояснює, чому цей процес повинен бути корисний навіть інженерам-програмістам, у яких немає досвіду в області безпеки.

Адам Кауділл, консультант з безпеки, описує спрощений процес моделювання загроз, який можна швидко і легко задокументувати.

Захисне програмування - методика розробки ПО, що запобігає випадкове впровадження вразливостей і забезпечує стійкість до впливу шкідливих програм і несанкціонованого доступу. Ця стаття розглядає історію цього терміна і аналізує проблеми захисного програмування.

Гайд по захисному програмування з прикладами на C, C ++, Java, Python, Shell / Bash, Go і Vala. Керівництво від Red Hat також включає в себе інструкції про те, як реалізувати, наприклад, аутентифікацію і авторизацію.

Apple орієнтує цей ресурс на розробників iOS і mac OS. Проте, тут зібрано досить багато універсальних порад. Деякі з розділів акцентують увагу на важливості безпеки, уникнення загальних вразливостей і проектуванні безпечного призначеного для користувача інтерфейсу.

Дієго Маріані - інженер-програміст на сайті Busuu. Він поєднує кілька старих і сучасних ідей про захисному програмуванні в коротку статтю з прикладами з PHP. У статті також розглядаються ключові моменти небезпечного захисного програмування.

Сто скарбниця знань з безпеки, яка включає в себе безкоштовне онлайн-навчання, керівництво по моделюванню загроз і рекомендації щодо безпечної розробки додатків. Це також безліч безкоштовних, високоякісних ресурсів, які постійно поповнюються.

Безкоштовний онлайн-курс, який відмінно підходить для початку навчання безпечної кодування. Він починається з основ кібербезпеки і загальних вразливостей веб-додатків, а потім переходить до виявлення, усунення та створення вразливостей. Далі курс зачіпає такі теми:

• безпечна архітектура
• мережева безпека
• криптографія
• тестування на проникнення
• CTF

Є тести і завдання для кожного розділу. Всі приклади представлені на Java (але ви можете виконувати завдання будь-якою мовою).

Інститут програмної інженерії Карнегі-Меллон (SEI) зібрав ці корисні правила і рекомендації щодо безпечного кодування. Слід ознайомитися з безпечними стандартами кодування для C, C ++, Java, Perl і Android, а також прочитати про 10 кращих методах безпечного кодування.

Cybrary - платформа з відкритим вихідним кодом, створена для навчання безпеки і підготовки до сертифікації. Контент безкоштовний, але включає в себе безцінні матеріали.

Сайт з відкритим вихідним кодом, наповнений навчальними посібниками з різних тем комп'ютерної безпеки. Також тут можна навчитися основам зі стратегії безпечного кодування. Навчання включає в себе введення в оцінку вразливості, огляди правильного коду, криптографію, експлойти ПО і т. Д.

Один з найбільш надійних способів вивчити основи в області безпеки - пройти курс коледжу MIT. Навчальний план охоплює:

• моделювання загроз
• ксплойти
• мережеву безпеку
• аутентифікацію
• мобільну безпеку
• економіку безпеки і т. д.

Аналогічні курси з безпеки є в Harvard edX, Stanford Online і Coursera.

Інститут SANS чимось схожий з OWASP. На сайті є безкоштовні ресурси для розробників і платні навчальні курси, включаючи програму, спрямовану на підвищення кваліфікації розробників.

Стаття Роберта Оже розповість вам про те, як відрізнити погане навчання від хорошого і як побудувати такий план навчання, який буде зручний розробникам.

Якщо ви шукаєте активні спільноти експертів з безпеки, відвідайте підрозділ NetSec. Там можна отримати відповіді на питання в області інформаційної безпеки. Якщо ви тільки почали розбиратися, найкраще підійде підрозділ NetSec students.

оригінал