Cyber Shelf

// Comparaison

Alice and Bob Learn Application Security vs Click Here to Kill Everybody : lequel lire ?

Deux livres de cybersécurité sur Foundations, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Débutant
4/52020
Alice and Bob Learn Application Security

Tanya Janca

Le primer AppSec hands-on de Tanya Janca couvrant threat modeling, design sécurisé, code sécurisé, tests, déploiement et le côté social de la conduite d'un programme AppSec — à travers une structure narrative et amicale.

Débutant
4/52018
Click Here to Kill Everybody

Security and Survival in a Hyper-Connected World

Bruce Schneier

L'argument politique de niveau de Bruce Schneier : à mesure que tout devient un ordinateur (voitures, dispositifs médicaux, infrastructure, vote), les défaillances de sécurité qui ne nous coûtaient que de l'argent commenceront à coûter des vies — et la forme réglementaire de ce futur se décide maintenant.

À lire si

Développeurs logiciel, ingénieurs AppSec junior et champions sécurité qui ont besoin d'un livre unique et amical couvrant le cycle de vie AppSec sans supposer de connaissance sécurité. Excellent comme premier livre à donner à un développeur à qui on demande de mener l'AppSec pour son équipe.
Ingénieurs, gens du policy et managers qui doivent briefer la direction sur pourquoi IoT, OT et systèmes cyber-physiques sont catégoriquement différents de la sécu IT dans laquelle ils ont grandi. Aussi le bon premier Schneier pour quiconque devient nouvellement responsable du risque cyber-physique.

À éviter si

Professionnels AppSec senior qui ont déjà le cycle de vie intériorisé ; le livre est un primer par design. Aussi relativement léger sur les spécificités AppSec cloud-native (scan IaC, attestation supply-chain), que les écrits ultérieurs de Janca couvrent plus profondément.
Lecteurs voulant de la technique IoT-hacking concrète ; pour cela, Practical IoT Hacking (Chantzis et al.) et The Hardware Hacking Handbook sont les références. Daté aussi sur des exemples 2018 spécifiques même si les arguments structurels tiennent.

Points clés

  • L'AppSec est une discipline de cycle de vie, pas une discipline de scan ; la structure de Janca fait l'argument en parcourant chaque étape avec des exemples concrets.
  • La plupart des gains AppSec viennent du design sécurisé et du travail relations-développeurs, pas de trouver plus de bugs en fin de SDLC.
  • Le ton du livre est sa force sous-estimée — beaucoup de développeurs finiront ce livre ; très peu finiront un manuel AppSec plus formel.
  • Internet+ — le terme de Schneier pour la convergence cyber-physique — change les conséquences de la défaillance de sécurité, pas seulement la surface.
  • Les marchés ne corrigeront pas cela ; l'argument policy du livre est que responsabilité, régulation et standards d'achat sont les seuls leviers qui fonctionnent.
  • Culture ingénierie et culture policy se parlent en passant à côté ; le livre est une pierre de Rosette utile dans les deux sens.

Comment ils se comparent

Alice and Bob Learn Application Security et Click Here to Kill Everybody sont tous deux notés 4/5 dans notre catalogue. Choisissez selon vos préférences thématiques et de style, plutôt que sur la note.

Les deux livres ciblent un public de niveau débutant : le choix se fait sur la thématique, pas la difficulté.

Alice and Bob Learn Application Security et Click Here to Kill Everybody couvrent tous les deux Foundations : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Alice and Bob Learn Application Security

Alternatives à Alice and Bob Learn Application SecurityQue lire après Alice and Bob Learn Application Security

Click Here to Kill Everybody

Alternatives à Click Here to Kill EverybodyQue lire après Click Here to Kill Everybody

Thématiques liées

Foundations