Как я могу быть в курсе компьютерной (особенно программной) безопасности?
Недавно я купил и прочитал комплект книг по безопасности ( Создание безопасного программного обеспечения: как правильно избежать проблем с безопасностью, Эксплуатация программного обеспечения: Как взломать код и Безопасность программного обеспечения: Обеспечение безопасности). Хотя я думаю, что содержание этих книг будет полезно в течение многих лет, авторы признают, что мир компьютерной и программной безопасности меняется очень быстро. Как я могу быть в курсе последних событий в этих областях?
15 ответов
Слушайте подкаст безопасности, на твиттере. После этого, в зависимости от используемых вами ОС, вы должны подписаться на их списки рассылки по безопасности или RSS-канал.
Раздел " Безопасность реестра ". RSS доступен. (Я большой поклонник El Reg.)
Кроме того, и это может быть немного легким для кодера, но Безопасность сейчас! Подкаст со Стивом Гибсоном и Лео Лапорте приличный.
Если вы можете себе это позволить (или убедить работодателя заплатить), посещайте как минимум одну конференцию в год. В крайнем случае, всегда есть Defcon, который проходит в выходные дни и стоит всего 100 долларов. Это не так профессионально, как, скажем, Black Hat, но это лучше, чем ничего.
РИСКИ не связаны с безопасностью, но там обсуждаются некоторые интересные вопросы, связанные с безопасностью.
BUGTRAQ - это список рассылки с полным раскрытием информации, заслуживающий внимания. (Каждый раз, когда уязвимость обнаруживается в программном обеспечении, которое поставляется с большинством дистрибутивов Linux, возникает множество раскрытий из всех различных дистрибутивов. Это отрицательно влияет на отношение сигнал / шум, если вы не используете один из этих распределения.)
Некоторые блоги, связанные с безопасностью, которые могут быть интересными (в дополнение к уже упоминавшемуся Шнайеру о безопасности): … И вы узнаете меня по следам битов, DoxPara Research (Дэн Камински), Матасано Чарген, жизненный цикл разработки безопасности Microsoft, ZDNet "Zero Day".
OWASP ( http://www.owasp.org/) предоставляет очень хороший RSS-канал, в основном собранный из разных источников.
О, не забывайте о невероятно интересных хакерских конференциях КТС. Названия конференций имеют фиксированный шаблон. Последний был 24c3, следующий будет 25c3. Они проводятся в Берлине, Германия, и являются одной из самых больших точек соприкосновения в культуре хакеров и безопасности на этой планете.
Вы найдете видео и транскрипты mp3 с последних конференций на Chaos Radio.
Если вы не можете совершить поездку, переговоры обычно транслируются в прямом эфире. Записи публикуются через несколько недель после события.
Для веб-безопасности я подписываюсь на следующие каналы: некоторые регулярно обновляются, некоторые нет.
DanchoDanchevOnSecurity
Интернет Шторм Центр
Реестр (охранное предприятие)
Бюллетени кибербезопасности US-CERT
Нулевой день
ha.ckers.org
и одно из моих новых добавлений переполнения стека: с меткой безопасности
или вы можете просто добавить все на свою страницу надежды iGoogle: Моя страница безопасности iGoogle
Я уверен, что есть более интересные каналы, если вы больше ориентированы на приложения.
В любом случае, фиды или посещение сайтов - это единственный способ действительно быть в курсе событий. Конференции - это здорово, и на них интересно ходить, но через час вы получите ту же информацию через Интернет; обычно с дополнительным бонусом наличия нескольких точек зрения, чтобы помочь вам понять темы.
Для обеспечения безопасности программного обеспечения и особенно безопасности веб-приложений OWASP Moderated AppSec News - отличный RSS-канал. Хорошее соотношение сигнал / шум. Этого должно быть достаточно, чтобы быть в курсе.
Затем есть SIGSAC ACM и транзакции ACM по информационной и системной безопасности. Членство в ACM обычно рекомендуется авторами практического программиста.
Безопасность сейчас! не плохо (слушаю каждую неделю).
Он часто содержит хорошие объяснения лежащих в основе технологий (например, как маршрутизатор узнает, куда отправлять IP-пакет?), Хотя я думаю, что это происходит немного.
Если вы хотите более хардкорный подкаст, попробуйте Paul "dot com" Security Weekly.
Это действительно для тестеров на проникновение, но я не могу не думать, что если тестер на проникновение знает об этом, то и я должен
У IEEE есть журнал " Безопасность и конфиденциальность" - это очень хорошо.
Я использую многие другие упомянутые выше упоминания (Шнайер, как уже упоминалось), однако я обнаружил, что Slashdot честно дает мне лучшие "хедз-апы" в отношении появления новых векторов атак. Это не всегда своевременно, и в основном просто общий обзор, но это хорошо в размещении векторов, о которых я никогда не думал.
Блог, который мне нравится (кроме Schneier on Security), - Light Blue Touchpaper - коллективный блог отдела исследований компьютерной безопасности в Кембриджском университете (возглавляемый замечательным Россом Андерсоном).