Application Security Referenzen

Question

Ich trat kürzlich in die Rolle der Anwendungssicherheit Evangelisten. Als Teil meiner Verantwortung muss ich über Sicherheitsfragen auf dem Laufenden bleiben. Können Sie mir bitte einige gute Webseiten empfehlen, die Branchen-Updates zur Web-/Datenbanksicherheit sowie zu Sprachen wie Java C# und Python anbieten? Schätzen Sie auch andere Ratschläge, um in der Rolle erfolgreich zu sein.

Answer 1

Wow, es gibt viele tolle Seiten. Ich würde empfehlen:

• DISA STIGs für die Konfiguration von Betriebssystemen, Datenbanken und Webservern.
• Open Web Application Security Project - ist eine der führenden Anwendungssicherheitsorganisationen und verfügt über eine Website mit hervorragenden Ressourcen einschließlich der OWASP Top 10, Application Security Verification Standard (ASVS) und Software Assurance Maturity Model (SAMM).
• OWASP und BSides beide haben gute lokale Konferenzen in verschiedenen Bereichen des Landes, zusätzlich zu den größeren OWASP AppSec Konferenzen.
• Microsoft Security Development Lifecycle und damit verbundenes Material haben sie erstellt.

Einige Blogs (etwa priorisiert ... Ich denke, Ars Technica würden Sie decken, so dass Sie nicht alles wichtige in der Nähe verpassen:

• http://arstechnica.com/security/ (allgemeine Nachrichten)
• https://www.schneier.com (mix von politischen und technischen)
• http://www.darkreading.com (allgemeine Nachrichten)
• http://threatpost.com (allgemeine Nachrichten)
• http://blogs.csoonline.com (allgemeine Nachrichten und viele Spezialthemen)
• http://krebsonsecurity.com (Cyber-Kriminalität Berichterstattung)
• http://www.securingthehuman.org/blog (Social Engineering orientiert)

Veracode und Cigital auch haben beide gute Blogs, obwohl sie Verkäufer sind aromatisiert/voreingenommen. Cigitals Gary McGraw hat auch einen guten Podcast, den Silver Bullet, der sich auf Anwendungssicherheit konzentriert. Ich denke, der beste Rundum-Podcast für die Sicherheit ist Risky Business.

Ich kenne keine spezifischen Ressourcen für Sicherheitsentwicklungen/Nachrichten nach Sprache. Möglicherweise möchten Sie die National Vulnerability Database oder andere Quellen für neue Sicherheitslücken (durch CVE) sehen, die mit dem von Ihnen verwendeten Software-Stack verbunden sind.

Ich würde mich freuen, zusätzliche Ideen in den Kommentaren zu hören oder zu dieser Antwort hinzugefügt.