私はITを専攻する学生で、現在大学3年生です。これまで、コンピューター全般に関する多くの科目(プログラミング、アルゴリズム、コンピューターアーキテクチャ、数学など)を勉強してきました。
セキュリティについてすべてを学ぶことは誰にもできないと確信していますが、すべてのプログラマーや IT 学生が知っておくべき「最低限の」知識があることは確かです。私の質問は、この最低限の知識とは何でしょうか?
この道を歩み始めるのに役立つ電子書籍やコースなど、何かお勧めはありますか?
ベストアンサー1
アプリケーションを安全に保つために留意すべき原則:
- いかなる入力も決して信用しないでください。
- 入力を検証する信頼できないソースからはすべてブラックリストではなくホワイトリストを使用します
- 最初からセキュリティを計画する - それは最後に追加できるものではありません
- シンプルにしましょう - 複雑になるとセキュリティホールの可能性が高まります
- あなたの攻撃対象領域最小限に
- 必ず安全に失敗する
- 使用多層防御
- 原則に従う最小権限
- 使用脅威モデリング
- 区分する- あなたのシステムは全部かゼロかではありません
- 秘密を隠すのは難しい。そしてコードに隠された秘密は長くは続かない。
- 独自の暗号を書かないでください
- 暗号を使用するからといって安全であるとは限りません(攻撃者は弱いリンクを探します)
- 注意してくださいバッファオーバーフローそしてそれらから身を守る方法
アプリケーションを安全にする方法については、オンライン上に優れた書籍や記事がいくつかあります。
- セキュアなコードを書く第2版- すべてのプログラマーがこれを読むべきだと思う
- 安全なソフトウェアの構築: セキュリティ問題を適切に回避する方法
- セキュアプログラミングクックブック
- ソフトウェアの悪用
- セキュリティエンジニアリング- 素晴らしい読み物
- Linux および Unix 向けのセキュア プログラミング HOWTO
アプリケーションセキュリティのベストプラクティスについて開発者をトレーニングする
コードバッシング(有料)
セキュリティイノベーション(有料)
セキュリティコンパス(有料)
OWASP ウェブゴート(無料)