Ich trat kürzlich in die Rolle der Anwendungssicherheit Evangelisten. Als Teil meiner Verantwortung muss ich über Sicherheitsfragen auf dem Laufenden bleiben. Können Sie mir bitte einige gute Webseiten empfehlen, die Branchen-Updates zur Web-/Datenbanksicherheit sowie zu Sprachen wie Java C# und Python anbieten? Schätzen Sie auch andere Ratschläge, um in der Rolle erfolgreich zu sein.Application Security Referenzen
Antwort
Wow, es gibt viele tolle Seiten. Ich würde empfehlen:
- DISA STIGs für die Konfiguration von Betriebssystemen, Datenbanken und Webservern.
- Open Web Application Security Project - ist eine der führenden Anwendungssicherheitsorganisationen und verfügt über eine Website mit hervorragenden Ressourcen einschließlich der OWASP Top 10, Application Security Verification Standard (ASVS) und Software Assurance Maturity Model (SAMM).
- OWASP und BSides beide haben gute lokale Konferenzen in verschiedenen Bereichen des Landes, zusätzlich zu den größeren OWASP AppSec Konferenzen.
- Microsoft Security Development Lifecycle und damit verbundenes Material haben sie erstellt.
Einige Blogs (etwa priorisiert ... Ich denke, Ars Technica würden Sie decken, so dass Sie nicht alles wichtige in der Nähe verpassen:
- http://arstechnica.com/security/ (allgemeine Nachrichten)
- https://www.schneier.com (mix von politischen und technischen)
- http://www.darkreading.com (allgemeine Nachrichten)
- http://threatpost.com (allgemeine Nachrichten)
- http://blogs.csoonline.com (allgemeine Nachrichten und viele Spezialthemen)
- http://krebsonsecurity.com (Cyber-Kriminalität Berichterstattung)
- http://www.securingthehuman.org/blog (Social Engineering orientiert)
Veracode und Cigital auch haben beide gute Blogs, obwohl sie Verkäufer sind aromatisiert/voreingenommen. Cigitals Gary McGraw hat auch einen guten Podcast, den Silver Bullet, der sich auf Anwendungssicherheit konzentriert. Ich denke, der beste Rundum-Podcast für die Sicherheit ist Risky Business.
Ich kenne keine spezifischen Ressourcen für Sicherheitsentwicklungen/Nachrichten nach Sprache. Möglicherweise möchten Sie die National Vulnerability Database oder andere Quellen für neue Sicherheitslücken (durch CVE) sehen, die mit dem von Ihnen verwendeten Software-Stack verbunden sind.
Ich würde mich freuen, zusätzliche Ideen in den Kommentaren zu hören oder zu dieser Antwort hinzugefügt.
Danke für die Information. Sehr hilfreich –
- 1. Spring Security 4 + OAuth2 = Schlechte Referenzen
- 2. Alternative zum Microsoft Security Application Block?
- 3. Delphi 7 Application und Microsoft Security Essentials
- 4. Wo sind Referenzen zur Web Application Project Assembly gespeichert?
- 5. Enterprise Security Application Block in Verbindung mit MembershipProvider in ASP.NET
- 6. Content-Security-Policy Spring Security
- 7. Macbook Security Alarm Aufgabe
- 8. Spring Security taglib nicht
- 9. Security Group Ansprüche auf SAML-Token hinzufügen für Custom Azure Active Directory Application
- 10. Referenzen von Referenzen mit COM Anrufer
- 11. AuthenticationManager Referenzen
- 12. Python-Referenzen
- 13. Bedingte Referenzen
- 14. ClickOnce & Referenzen
- 15. Variable Referenzen
- 16. Ajax Security
- 17. WebService Security
- 18. ColdFusion Security
- 19. CakePHP Security
- 20. $ _session security
- 21. Spring Security Autorisierung remote
- 22. Application Insights
- 23. Application Badge
- 24. Application Publisher
- 25. Spring security: programmgesteuert anmelden
- 26. Spring Security OAuth2 InvalidGrantException
- 27. Spring Security und JSON-Authentifizierung
- 28. C++: Warum können wir keine Referenzen auf Referenzen oder ein Array von Referenzen haben?
- 29. Content-Security-Richtlinienobjekt-src blob
- 30. Spring Security, REST grundlegende Authentifizierungsproblem
Slashdot ist eine gute Seite für die Sicherheit als Ganzes. – dgatwood