Cyber Shelf

// Comparaison

Alice and Bob Learn Application Security vs Real-World Cryptography : lequel lire ?

Deux livres de cybersécurité sur AppSec, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Débutant
4/52020
Alice and Bob Learn Application Security

Tanya Janca

Le primer AppSec hands-on de Tanya Janca couvrant threat modeling, design sécurisé, code sécurisé, tests, déploiement et le côté social de la conduite d'un programme AppSec — à travers une structure narrative et amicale.

Intermédiaire
5/52021
Real-World Cryptography

David Wong

Tour pratique de David Wong des primitives, protocoles et pièges cryptographiques qui apparaissent réellement en production, avec une attention assumée à TLS, Noise, AEAD modernes, et post-quantique.

À lire si

Développeurs logiciel, ingénieurs AppSec junior et champions sécurité qui ont besoin d'un livre unique et amical couvrant le cycle de vie AppSec sans supposer de connaissance sécurité. Excellent comme premier livre à donner à un développeur à qui on demande de mener l'AppSec pour son équipe.
Ingénieurs qui doivent prendre des décisions cryptographiques dans de vrais systèmes : AEAD, échange de clés, signatures, hachage de mots de passe, PKI, chiffrement de bout en bout, migration post-quantique. Le nouveau standard moderne, et le livre que nous recommandons en premier à quiconque touche à la crypto en production.

À éviter si

Professionnels AppSec senior qui ont déjà le cycle de vie intériorisé ; le livre est un primer par design. Aussi relativement léger sur les spécificités AppSec cloud-native (scan IaC, attestation supply-chain), que les écrits ultérieurs de Janca couvrent plus profondément.
Chercheurs en cryptographie ou lecteurs qui veulent les preuves mathématiques complètes. Les maths sont bornées au strict nécessaire pour évaluer des choix, pas pour reconstruire les preuves. Pour la profondeur suivante, lire Serious Cryptography après celui-ci.

Points clés

  • L'AppSec est une discipline de cycle de vie, pas une discipline de scan ; la structure de Janca fait l'argument en parcourant chaque étape avec des exemples concrets.
  • La plupart des gains AppSec viennent du design sécurisé et du travail relations-développeurs, pas de trouver plus de bugs en fin de SDLC.
  • Le ton du livre est sa force sous-estimée — beaucoup de développeurs finiront ce livre ; très peu finiront un manuel AppSec plus formel.
  • La majorité des vulnérabilités crypto sont des erreurs d'usage, pas des primitives cassées ; le cadrage de Wong (« quoi utiliser, quoi éviter ») est le plus net qui soit publié.
  • TLS 1.3, Noise et les protocoles façon Signal composent les primitives selon des patterns que tout ingénieur devrait reconnaître à vue, ce livre apprend à les voir.
  • La cryptographie post-quantique n'est plus optionnelle ; le livre introduit les constructions à base de réseaux et de hachages que vous déploierez d'ici quelques années.

Comment ils se comparent

Nous notons Real-World Cryptography plus haut (5/5 contre 4/5 pour Alice and Bob Learn Application Security). Pour la plupart des lecteurs, Real-World Cryptography est le choix principal et Alice and Bob Learn Application Security un complément utile.

Alice and Bob Learn Application Security vise le niveau débutant. Real-World Cryptography vise le niveau intermédiaire. Lisez le plus accessible d'abord si la thématique ne vous est pas familière.

Alice and Bob Learn Application Security et Real-World Cryptography couvrent tous les deux AppSec : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Alice and Bob Learn Application Security

Alternatives à Alice and Bob Learn Application SecurityQue lire après Alice and Bob Learn Application Security

Real-World Cryptography

Alternatives à Real-World CryptographyQue lire après Real-World Cryptography

Thématiques liées

AppSec