👨🏻💻 30 ресурсов по безопасности, которые точно пригодятся
По мере развития индустрии специалисты по безопасности черпают все новую и новую информацию. Но как понять, что знаний достаточно? Приведенные ниже ресурсы являются своего рода стартовым набором для специалистов, которые хотят писать более безопасный код и научиться выявлять уязвимости, прежде чем код перейдет в продакшн.
💻 Основы безопасности приложений (AppSec)
The Basics of Web Application Security
В этой статье Кейд Кэрнс из ThoughtWorks и Дэниел Сомерфилд из New Relic описали восемь фишек безопасности при создании веб-приложений.
Security and Identity – Google’s Web Fundamentals
Эта статья поможет понять и разобраться в HTTPS и CSP, а также узнать, как определить, был ли взломан ваш сайт, и что с этим делать.
What should every programmer know about security?
Ответ на этот вопрос размещен на Stack Overflow. Он дает хорошую базу знаний в области ключевых принципов безопасности. Это такие принципы, как: не доверять никакому входному сигналу, использовать глубокую защиту, придерживаться принципа наименьших привилегий и использовать моделирование угрозы. В ответах также есть списки книг и учебных курсов.
Security by Design Principles - OWASP
Сообщество Open Web Application Security Project (OWASP) создало этот ресурс, чтобы специалисты могли получить рекомендации, необходимые для создания безопасных приложений на этапе проектирования. Там можно найти ключевые принципы безопасности, их определения и примеры, узнать о десяти самых распространенных угрозах на сегодняшний день.
Writing Security Code
Эта часто рекомендуемая книга была написана специалистами по безопасности Microsoft Майклом Ховардом и Дэвидом Лебланом. Наряду с методами безопасного кодирования, книга охватывает следующие темы:
▪️ моделирование угроз
▪️ проектирование процесса безопасности
▪️ международные вопросы безопасности
▪️ вопросы файловой системы
▪️ добавление конфиденциальности к приложениям
▪️ исследование кода безопасности
Джим Берд, технический директор BIDS Trading Technologies, говорит, что хоть книге и 15 лет, но основы безопасности программного обеспечения остаются неизменными.
#полезные_ссылки #компьютерная_безопасность #программирование
По мере развития индустрии специалисты по безопасности черпают все новую и новую информацию. Но как понять, что знаний достаточно? Приведенные ниже ресурсы являются своего рода стартовым набором для специалистов, которые хотят писать более безопасный код и научиться выявлять уязвимости, прежде чем код перейдет в продакшн.
💻 Основы безопасности приложений (AppSec)
The Basics of Web Application Security
В этой статье Кейд Кэрнс из ThoughtWorks и Дэниел Сомерфилд из New Relic описали восемь фишек безопасности при создании веб-приложений.
Security and Identity – Google’s Web Fundamentals
Эта статья поможет понять и разобраться в HTTPS и CSP, а также узнать, как определить, был ли взломан ваш сайт, и что с этим делать.
What should every programmer know about security?
Ответ на этот вопрос размещен на Stack Overflow. Он дает хорошую базу знаний в области ключевых принципов безопасности. Это такие принципы, как: не доверять никакому входному сигналу, использовать глубокую защиту, придерживаться принципа наименьших привилегий и использовать моделирование угрозы. В ответах также есть списки книг и учебных курсов.
Security by Design Principles - OWASP
Сообщество Open Web Application Security Project (OWASP) создало этот ресурс, чтобы специалисты могли получить рекомендации, необходимые для создания безопасных приложений на этапе проектирования. Там можно найти ключевые принципы безопасности, их определения и примеры, узнать о десяти самых распространенных угрозах на сегодняшний день.
Writing Security Code
Эта часто рекомендуемая книга была написана специалистами по безопасности Microsoft Майклом Ховардом и Дэвидом Лебланом. Наряду с методами безопасного кодирования, книга охватывает следующие темы:
▪️ моделирование угроз
▪️ проектирование процесса безопасности
▪️ международные вопросы безопасности
▪️ вопросы файловой системы
▪️ добавление конфиденциальности к приложениям
▪️ исследование кода безопасности
Джим Берд, технический директор BIDS Trading Technologies, говорит, что хоть книге и 15 лет, но основы безопасности программного обеспечения остаются неизменными.
#полезные_ссылки #компьютерная_безопасность #программирование
👍7
📝 Безопасность всего цикла написания кода
DevOpsSec
Базовые знания безопасного кодирования безусловно важны, но также нужно знать, какие инструменты и процессы могут обеспечить безопасность кода на протяжении всего жизненного цикла разработки программного обеспечения. Эта книга от BIDS Trading Technologies' Bird даст ясную практическую картину нескольких современных цепочек безопасного жизненного цикла и процессов, вдохновленных Etsy, Netflix и другими технически сильными, очень успешными компаниями.
Agile Application Security
Эта книга написана Лауром Белом, Ричем Смитом, Майклом Брунтоном-Споллом и Джимом Бердом. Она расширяет темы, описанные в книге DevSecOps, которая готовит специалистов ко многим техническим и организационным проблемам, с которыми они могут столкнуться при создании безопасного ПО.
OWASP Code Review Project
Проверка кода - важный шаг в обнаружении уязвимостей системы безопасности. Изучение того, как искать эти самые уязвимости, повысит шансы разработчиков избегать подобных ошибок.
👺 Моделирование угроз
How I learned to stop worrying (mostly) and love my threat model
Моделирование угроз - это то, что могут понять даже гуманитарии, работающие в Вашей организации. Шон Галлахер, редактор по информационной безопасности в Ars Technica, написал эту статью, чтобы каждый мог смоделировать конкретные ситуации.
OWASP Application Threat Modeling
OWASP Application Threat Modeling - это ресурс моделирования угроз. Он работает в три этапа:
▪️анализ приложения
▪️ определение степени угрозы
▪️определение мер устранения или смягчения проблемы.
Джоанна Куриэль, специалист по безопасности приложений в банковской сфере, рекомендует OWASP, так как ресурс охватывает широкий спектр тем в области безопасности: безопасность PHP, защита iOS и Android, XML, saml и многое другое.
Developer-Driven Threat Modeling
В статье Дэнни Диллона, главного специалиста по безопасности EMC, объясняется, почему разработчикам необходимо пользоваться моделированием угроз. Автор описывает уникальный подход EMC к этому делу и объясняет, почему этот процесс должен быть полезен даже инженерам-программистам, у которых нет опыта в области безопасности.
Threat Modeling for Applications
Адам Каудилл, консультант по безопасности, описывает упрощенный процесс моделирования угроз, который можно быстро и легко задокументировать.
#полезные_ссылки #компьютерная_безопасность #программирование #уязвимости #хакинг #hack #безопасность
DevOpsSec
Базовые знания безопасного кодирования безусловно важны, но также нужно знать, какие инструменты и процессы могут обеспечить безопасность кода на протяжении всего жизненного цикла разработки программного обеспечения. Эта книга от BIDS Trading Technologies' Bird даст ясную практическую картину нескольких современных цепочек безопасного жизненного цикла и процессов, вдохновленных Etsy, Netflix и другими технически сильными, очень успешными компаниями.
Agile Application Security
Эта книга написана Лауром Белом, Ричем Смитом, Майклом Брунтоном-Споллом и Джимом Бердом. Она расширяет темы, описанные в книге DevSecOps, которая готовит специалистов ко многим техническим и организационным проблемам, с которыми они могут столкнуться при создании безопасного ПО.
OWASP Code Review Project
Проверка кода - важный шаг в обнаружении уязвимостей системы безопасности. Изучение того, как искать эти самые уязвимости, повысит шансы разработчиков избегать подобных ошибок.
👺 Моделирование угроз
How I learned to stop worrying (mostly) and love my threat model
Моделирование угроз - это то, что могут понять даже гуманитарии, работающие в Вашей организации. Шон Галлахер, редактор по информационной безопасности в Ars Technica, написал эту статью, чтобы каждый мог смоделировать конкретные ситуации.
OWASP Application Threat Modeling
OWASP Application Threat Modeling - это ресурс моделирования угроз. Он работает в три этапа:
▪️анализ приложения
▪️ определение степени угрозы
▪️определение мер устранения или смягчения проблемы.
Джоанна Куриэль, специалист по безопасности приложений в банковской сфере, рекомендует OWASP, так как ресурс охватывает широкий спектр тем в области безопасности: безопасность PHP, защита iOS и Android, XML, saml и многое другое.
Developer-Driven Threat Modeling
В статье Дэнни Диллона, главного специалиста по безопасности EMC, объясняется, почему разработчикам необходимо пользоваться моделированием угроз. Автор описывает уникальный подход EMC к этому делу и объясняет, почему этот процесс должен быть полезен даже инженерам-программистам, у которых нет опыта в области безопасности.
Threat Modeling for Applications
Адам Каудилл, консультант по безопасности, описывает упрощенный процесс моделирования угроз, который можно быстро и легко задокументировать.
#полезные_ссылки #компьютерная_безопасность #программирование #уязвимости #хакинг #hack #безопасность
👍7
🔑 Защитное программирование
Defensive Programming
Защитное программирование – методика разработки ПО, предотвращающая случайное внедрение уязвимостей и обеспечивающая устойчивость к воздействию вредоносных программ и несанкционированному доступу. Эта статья рассматривает историю этого термина и анализирует проблемы защитного программирования.
The Defensive Coding Guide
Гайд по защитному программированию с примерами на C, C++, Java, Python, Shell/Bash, Go и Vala. Руководство от Red Hat также включает в себя инструкции о том, как реализовать, например, аутентификацию и авторизацию.
The Secure Coding Guide
Apple ориентирует этот ресурс на разработчиков iOS и mac OS. Тем не менее, здесь собрано довольно много универсальных советов. Некоторые из разделов акцентируют внимание на важности безопасности, избегании общих уязвимостей и проектировании безопасного пользовательского интерфейса.
The Art of Defensive Programming
Диего Мариани – инженер-программист на сайте Busuu. Он совмещает несколько старых и современных идей о защитном программировании в короткую статью с примерами из PHP. В статье также рассматриваются ключевые моменты небезопасного защитного программирования.
#полезные_ссылки #компьютерная_безопасность #программирование #уязвимости #хакинг #hack #безопасность
Defensive Programming
Защитное программирование – методика разработки ПО, предотвращающая случайное внедрение уязвимостей и обеспечивающая устойчивость к воздействию вредоносных программ и несанкционированному доступу. Эта статья рассматривает историю этого термина и анализирует проблемы защитного программирования.
The Defensive Coding Guide
Гайд по защитному программированию с примерами на C, C++, Java, Python, Shell/Bash, Go и Vala. Руководство от Red Hat также включает в себя инструкции о том, как реализовать, например, аутентификацию и авторизацию.
The Secure Coding Guide
Apple ориентирует этот ресурс на разработчиков iOS и mac OS. Тем не менее, здесь собрано довольно много универсальных советов. Некоторые из разделов акцентируют внимание на важности безопасности, избегании общих уязвимостей и проектировании безопасного пользовательского интерфейса.
The Art of Defensive Programming
Диего Мариани – инженер-программист на сайте Busuu. Он совмещает несколько старых и современных идей о защитном программировании в короткую статью с примерами из PHP. В статье также рассматриваются ключевые моменты небезопасного защитного программирования.
#полезные_ссылки #компьютерная_безопасность #программирование #уязвимости #хакинг #hack #безопасность
👍3❤1
Ловушка для багов [2020] Яворски.pdf
7 MB
📙 Ловушка для багов [2020] Яворски
«Чтобы чему-то научиться, надо применять знания на практике. Именно так мы освоили ремесло взлома» — Майкл Принс и Йоберт Абма, соучредители HackerOne. «Ловушка для багов» познакомит вас с белым хакингом — поиском уязвимостей в системе безопасности. Неважно, являетесь ли вы новичком в области кибербезопасности, который хочет сделать интернет безопаснее, или опытным разработчиком, который хочет писать безопасный код, Питер Яворски покажет вам, как это делается. В книге рассматриваются распространенные типы ошибок и реальные хакерские отчеты о таких компаниях, как Twitter, Facebook, Google, Uber и Starbucks. Из этих отчетов вы поймете принципы работы уязвимостей и сможете сделать безопасней собственные приложения.
Вы узнаете:
• как работает интернет, и изучите основные концепции веб-хакинга;
• как злоумышленники взламывают веб-сайты;
• как подделка запросов заставляет пользователей отправлять информацию на другие веб-сайты;
• как получить доступ к данным другого пользователя;
#hack #web #компьютерная_безопасность
«Чтобы чему-то научиться, надо применять знания на практике. Именно так мы освоили ремесло взлома» — Майкл Принс и Йоберт Абма, соучредители HackerOne. «Ловушка для багов» познакомит вас с белым хакингом — поиском уязвимостей в системе безопасности. Неважно, являетесь ли вы новичком в области кибербезопасности, который хочет сделать интернет безопаснее, или опытным разработчиком, который хочет писать безопасный код, Питер Яворски покажет вам, как это делается. В книге рассматриваются распространенные типы ошибок и реальные хакерские отчеты о таких компаниях, как Twitter, Facebook, Google, Uber и Starbucks. Из этих отчетов вы поймете принципы работы уязвимостей и сможете сделать безопасней собственные приложения.
Вы узнаете:
• как работает интернет, и изучите основные концепции веб-хакинга;
• как злоумышленники взламывают веб-сайты;
• как подделка запросов заставляет пользователей отправлять информацию на другие веб-сайты;
• как получить доступ к данным другого пользователя;
#hack #web #компьютерная_безопасность
👍9❤2