Cyber Shelf

// Comparaison

Designing Secure Software vs Web Security for Developers : lequel lire ?

Deux livres de cybersécurité sur AppSec, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Intermédiaire
5/52021
Designing Secure Software

A Guide for Developers

Loren Kohnfelder

Loren Kohnfelder, l'auteur PKI original, sur comment tisser la pensée sécurité à travers exigences, design, implémentation et opérations plutôt que de la boulonner à la fin.

Débutant
4/52020
Web Security for Developers

Real Threats, Practical Defense

Malcolm McDonald

Le primer côté développeur de Malcolm McDonald sur les problèmes classe OWASP, cadré autour de vraies attaques et défendu avec des patterns de code plutôt qu'avec des produits vendor.

À lire si

Développeurs seniors et architectes qui écrivent déjà bien le code et veulent maintenant concevoir des systèmes qui n'expédient pas de CVE. Kohnfelder est l'auteur qui a littéralement écrit le papier X.509 ; le livre est la sagesse de design d'une carrière en 312 pages.
Développeurs qui veulent comprendre la sécurité sans gens de la sécurité dans la boucle. McDonald est le rare auteur qui explique XSS, CSRF, SQLi, auth et sessions sans distractions de tooling offensif, dans le langage qu'un codeur en activité utilise.

À éviter si

Débutants ou lecteurs voulant du tooling hands-on. Le livre est niveau design : principes, patterns et études de cas. À coupler avec des livres niveau implémentation pour la vue ligne de code.
Praticiens qui connaissent déjà OWASP à fond, ou lecteurs voulant de la profondeur sur les classes de bugs modernes (chaînes SSRF, prototype pollution, race conditions). Le livre est fondamental, pas avancé.

Points clés

  • Secure-by-design est principalement éviter les pièges ; l'énumération du livre des erreurs communes-mais-fatales est la checklist mentale la plus nette qu'un concepteur puisse porter.
  • Les frontières de confiance sont le concept unique le plus utile en design sécurisé ; le livre vous apprend à les voir dans n'importe quelle architecture.
  • La plupart des débats sécurité dans les organisations d'ingénierie se résolvent en une poignée de compromis répétés (défense en profondeur vs simplicité, blocage vs logging, fail-open vs fail-closed) ; le livre les nomme et fournit le langage pour la conversation.
  • Le cadrage « real threats, practical defense » est le choix de design du livre et son mouvement pédagogique le plus fort ; chaque chapitre commence avec l'attaque et finit avec le pattern de code défensif.
  • La sécurité web est principalement les mêmes douze erreurs depuis deux décennies ; une fois la taxonomie connue, les variantes modernes sont reconnaissables.
  • Le chapitre sur la gestion de session et le chapitre sur le JS tiers sont les deux pièces au plus haut levier du livre pour les ingénieurs qui connaissent déjà les bases.

Comment ils se comparent

Nous notons Designing Secure Software plus haut (5/5 contre 4/5 pour Web Security for Developers). Pour la plupart des lecteurs, Designing Secure Software est le choix principal et Web Security for Developers un complément utile.

Designing Secure Software vise le niveau intermédiaire. Web Security for Developers vise le niveau débutant. Lisez le plus accessible d'abord si la thématique ne vous est pas familière.

Designing Secure Software et Web Security for Developers couvrent tous les deux AppSec, Defensive : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Designing Secure Software

Alternatives à Designing Secure SoftwareQue lire après Designing Secure Software

Web Security for Developers

Alternatives à Web Security for DevelopersQue lire après Web Security for Developers

Thématiques liées

AppSecDefensive