Cyber Shelf

// Comparaison

The Art of Software Security Assessment vs Designing Secure Software : lequel lire ?

Deux livres de cybersécurité sur AppSec, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Avancé
5/52006
The Art of Software Security Assessment

Identifying and Preventing Software Vulnerabilities

Mark Dowd, John McDonald, Justin Schuh

Référence de 1200 pages sur l'audit de codes C/C++ pour la sécurité : interactions mémoire et entiers complexes, pièges du langage, et comment les vulnérabilités émergent à la frontière entre couches.

Intermédiaire
5/52021
Designing Secure Software

A Guide for Developers

Loren Kohnfelder

Loren Kohnfelder, l'auteur PKI original, sur comment tisser la pensée sécurité à travers exigences, design, implémentation et opérations plutôt que de la boulonner à la fin.

À lire si

Auditeurs, chercheurs de vulnérabilités et développeurs de codebases C/C++. Le livre le plus profond en imprimé sur la lecture de code adversariale. Vieux, dense et toujours indépassé.
Développeurs seniors et architectes qui écrivent déjà bien le code et veulent maintenant concevoir des systèmes qui n'expédient pas de CVE. Kohnfelder est l'auteur qui a littéralement écrit le papier X.509 ; le livre est la sagesse de design d'une carrière en 312 pages.

À éviter si

Développeurs web, quiconque travaille exclusivement en langages memory-safe, ou débutants sans exposition C/C++. Le livre est un primer d'audit de 1 200 pages ; rien d'autre ne rivalise en profondeur.
Débutants ou lecteurs voulant du tooling hands-on. Le livre est niveau design : principes, patterns et études de cas. À coupler avec des livres niveau implémentation pour la vue ligne de code.

Points clés

  • Les classes de vulnérabilités (corruption mémoire, problèmes d'entiers, format strings, race conditions) émergent des interactions entre couches ; le livre vous apprend à voir les frontières.
  • Le chapitre sur les problèmes d'entiers est la référence canonique ; la plupart des CVE publiques en C/C++ jusqu'en 2025 remontent encore aux patterns nommés ici par Dowd/McDonald/Schuh.
  • Les études de cas (Apache, Postfix, Solaris, OpenSSL) rendent les abstractions concrètes ; les lire dans l'ordre construit l'œil d'auditeur que rien d'autre ne construit.
  • Secure-by-design est principalement éviter les pièges ; l'énumération du livre des erreurs communes-mais-fatales est la checklist mentale la plus nette qu'un concepteur puisse porter.
  • Les frontières de confiance sont le concept unique le plus utile en design sécurisé ; le livre vous apprend à les voir dans n'importe quelle architecture.
  • La plupart des débats sécurité dans les organisations d'ingénierie se résolvent en une poignée de compromis répétés (défense en profondeur vs simplicité, blocage vs logging, fail-open vs fail-closed) ; le livre les nomme et fournit le langage pour la conversation.

Comment ils se comparent

The Art of Software Security Assessment et Designing Secure Software sont tous deux notés 5/5 dans notre catalogue. Choisissez selon vos préférences thématiques et de style, plutôt que sur la note.

The Art of Software Security Assessment vise le niveau avancé. Designing Secure Software vise le niveau intermédiaire. Lisez le plus accessible d'abord si la thématique ne vous est pas familière.

The Art of Software Security Assessment et Designing Secure Software couvrent tous les deux AppSec : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

The Art of Software Security Assessment

Alternatives à The Art of Software Security AssessmentQue lire après The Art of Software Security Assessment

Designing Secure Software

Alternatives à Designing Secure SoftwareQue lire après Designing Secure Software

Thématiques liées

AppSec