Alice and Bob Learn Application Security
Le primer AppSec hands-on de Tanya Janca couvrant threat modeling, design sécurisé, code sécurisé, tests, déploiement et le côté social de la conduite d'un programme AppSec — à travers une structure narrative et amicale.
En tant qu'Associé Amazon, nous percevons une commission sur les achats éligibles. Le lien ci-dessus est sponsorisé.
- Auteurs
- Tanya Janca
- Publié
- 2020
- Éditeur
- Wiley
- Pages
- 288
- Langue
- English
À lire si
Développeurs logiciel, ingénieurs AppSec junior et champions sécurité qui ont besoin d'un livre unique et amical couvrant le cycle de vie AppSec sans supposer de connaissance sécurité. Excellent comme premier livre à donner à un développeur à qui on demande de mener l'AppSec pour son équipe.
À éviter si
Professionnels AppSec senior qui ont déjà le cycle de vie intériorisé ; le livre est un primer par design. Aussi relativement léger sur les spécificités AppSec cloud-native (scan IaC, attestation supply-chain), que les écrits ultérieurs de Janca couvrent plus profondément.
Points clés
- L'AppSec est une discipline de cycle de vie, pas une discipline de scan ; la structure de Janca fait l'argument en parcourant chaque étape avec des exemples concrets.
- La plupart des gains AppSec viennent du design sécurisé et du travail relations-développeurs, pas de trouver plus de bugs en fin de SDLC.
- Le ton du livre est sa force sous-estimée — beaucoup de développeurs finiront ce livre ; très peu finiront un manuel AppSec plus formel.
Notes
À coupler avec Designing Secure Software (Kohnfelder) pour la profondeur design-pattern et avec The Web Application Hacker's Handbook pour le complément offensif. La communauté We Hack Purple de Janca et son livre Cloud Penetration Testing en cours sont les suites naturelles. La bonne réponse à 'quel livre AppSec mettons-nous sur la liste de lecture de l'équipe ingénierie ?' pour presque toute équipe qui n'en a pas déjà un.
Débutant · 2019
Foundations of Information Security
Le tour compact de Jason Andress du champ : confidentialité / intégrité / disponibilité, identification et authentification, contrôles réseau et OS, écrit pour nouveaux venus et disciplines adjacentes.
Débutant · 2021
How Cybersecurity Really Works
L'introduction douce et exercice-driven de Sam Grubb pour non-spécialistes qui ont besoin d'un modèle mental fonctionnel du comportement attaquant et d'une défense basique.
Débutant · 2019
The Pragmatic Programmer
L'ensemble d'heuristiques pratiques de Thomas et Hunt pour écrire du logiciel professionnellement — orthogonalité, broken-windows, DRY, tracer bullets, et l'argument sous-jacent que le craftsmanship est une posture, pas un processus.
Que lire ensuite
Que lire après Alice and Bob Learn Application Security →Intermédiaire · 2021
Real-World Cryptography
Tour pratique de David Wong des primitives, protocoles et pièges cryptographiques qui apparaissent réellement en production, avec une attention assumée à TLS, Noise, AEAD modernes, et post-quantique.
Intermédiaire · 2018
Social Engineering
La référence procédurale large de Christopher Hadnagy sur le social engineering comme discipline — recon, pretexting, élicitation, microexpressions, et le modèle d'engagement structuré que sa société de conseil a opérationnalisé.
Intermédiaire · 2021
Designing Secure Software
Loren Kohnfelder, l'auteur PKI original, sur comment tisser la pensée sécurité à travers exigences, design, implémentation et opérations plutôt que de la boulonner à la fin.
Explorer des livres similaires
Alternatives à Alice and Bob Learn Application Security →Débutant · 2021
How Cybersecurity Really Works
L'introduction douce et exercice-driven de Sam Grubb pour non-spécialistes qui ont besoin d'un modèle mental fonctionnel du comportement attaquant et d'une défense basique.
Débutant · 2019
Foundations of Information Security
Le tour compact de Jason Andress du champ : confidentialité / intégrité / disponibilité, identification et authentification, contrôles réseau et OS, écrit pour nouveaux venus et disciplines adjacentes.
Débutant · 2019
The Pragmatic Programmer
L'ensemble d'heuristiques pratiques de Thomas et Hunt pour écrire du logiciel professionnellement — orthogonalité, broken-windows, DRY, tracer bullets, et l'argument sous-jacent que le craftsmanship est une posture, pas un processus.