Ich habe kürzlich eine Box mit Büchern über Sicherheit gekauft und gelesen ( Sichere Software bauen: Wie man Sicherheitsprobleme auf die richtige Weise vermeidet , Exploiting Software: Wie man Code bricht , und Softwaresicherheit: Gebäudesicherheit in ). Obwohl ich denke, dass der Inhalt dieser Bücher für die kommenden Jahre nützlich sein wird, erkennen die Autoren an, dass sich die Welt der Computer- und Softwaresicherheit sehr schnell ändert. Mit welchen Mitteln könnte ich über die neuesten Ereignisse in diesen Bereichen auf dem Laufenden bleiben?
Hören Sie auf den Sicherheits-Podcast, auf Twitter. Danach, abhängig von den Betriebssystemen, die Sie verwenden, sollten Sie ihre Sicherheits-Mailing-Listen oder RSS-Feed abonnieren.
Ich habe kürzlich eine Box mit Büchern über Sicherheit gekauft und gelesen ( Sichere Software bauen: Wie man Sicherheitsprobleme auf die richtige Weise vermeidet , Exploiting Software: Wie man Code bricht , und Softwaresicherheit: Gebäudesicherheit in ). Obwohl ich denke, dass der Inhalt dieser Bücher für die kommenden Jahre nützlich sein wird, erkennen die Autoren an, dass sich die Welt der Computer- und Softwaresicherheit sehr schnell ändert. Mit welchen Mitteln könnte ich über die neuesten Ereignisse in diesen Bereichen auf dem Laufenden bleiben?
Der Bereich des Registers . RSS verfügbar. (Ich bin ein großer Fan von El Reg.)
Außerdem könnte es für einen Coder ein wenig leicht sein, aber die Sicherheit jetzt! Podcast mit Steve Gibson und Leo Laporte ist anständig.
Wenn Sie es sich leisten können (oder Ihren Arbeitgeber überzeugen zu zahlen), gehen Sie zu mindestens einer Konferenz pro Jahr. Als letzten Ausweg gibt es immer Defcon, das an einem Wochenende stattfindet und nur 100 Dollar kostet. Es ist nicht so professionell wie, sagen wir, Black Hat, aber es ist besser als nichts.
RISKS ist nicht sicherheitsspezifisch, aber einige interessante sicherheitsrelevante Themen werden dort besprochen.
BUGTRAQ ist eine vollständige Sicherheitsmailing-Liste, die es wert ist, überflogen zu werden. (Jedes Mal, wenn eine Sicherheitslücke in einer Software entdeckt wird, die mit den meisten Linux-Distributionen ausgeliefert wird, gibt es eine Flut von Offenlegungen aus den verschiedenen Distributionen. Dies wirkt sich negativ auf das Signal-Rausch-Verhältnis aus, es sei denn, Sie verwenden eines davon Verteilungen.)
Einige sicherheitsbezogene Blogs, die interessant sein könnten (zusätzlich zu Schneier on Security, das bereits verlinkt wurde): ... und du wirst mich kennenlernen der Pfad der Bits , DoxPara Research (Dan Kaminsky) , Matasano Chargen , Microsofts Security Development Lifecycle , ZDNets "Zero Day ".
Sie finden Videos und MP3-Transkripte der letzten Konferenzen im Chaos Radio .
Für den Fall, dass Sie die Reise nicht machen können, werden die Gespräche normalerweise über Livestreams übertragen. Aufnahmen werden Wochen nach dem Event veröffentlicht.
OWASP ( Ссылка ) bietet einen sehr netten RSS-Feed, der meist aus vielen verschiedenen Quellen aggregiert wird.
Für Web-Sicherheit abonniere ich die folgenden Feeds: Einige werden regelmäßig aktualisiert, andere nicht.
DanchoDanchevOnSecurity < br> Internet Storm Center
Das Register (Unternehmenssicherheit)
US-CERT Cyber Security Bulletins
Zero Day
ha.ckers.org
und eine meiner neuesten Ergänzungen
Stapelüberlauf: getaggte Sicherheit
oder Sie können einfach alles zu Ihrer iGoogle-Hope-Seite hinzufügen: Meine iGoogle-Sicherheitsseite
Ich bin sicher, dass es mehr interessante Feeds gibt, wenn Sie mehr auf Anwendungen ausgerichtet sind.
Unabhängig davon, Feeds oder Websites besuchen ist der einzige Weg, um wirklich ganz oben auf den Dingen zu bleiben. Konferenzen sind großartig und es macht Spaß, sie zu besuchen, aber eine Stunde später erhalten Sie dieselben Informationen über das Internet. in der Regel mit dem zusätzlichen Vorteil, mehrere Sichtweisen zu haben, um Ihnen zu helfen, die Themen zu verstehen.
Dann gibt es die SIGSAC von ACM und die von ACM Transaktionen zur Informations- und Systemsicherheit . Mitglied der ACM zu werden, wird im Allgemeinen von den Autoren des Practical Programmer empfohlen.
Sicherheit jetzt! ist nicht schlecht (ich höre jede Woche).
Es enthält oft gute Erklärungen der zugrunde liegenden Technologien (z. B. wie weiß ein Router, wo er ein IP-Paket senden soll?), Obwohl ich glaube, dass es etwas weiter geht.
Wenn du einen Hardcore-Podcast willst, dann probiere Paul "dot com" 's Security Weekly .
Es ist wirklich für Penetration Tester, aber ich kann nicht umhin zu denken, dass wenn ein Penetrationstester es dann auch ich sollte.
Ein Blog, den ich (abgesehen von Schneier on Security) genieße, ist Light Blue Touchpaper - ein kollektives Blog der Computer-Sicherheitsforschungsabteilung von Cambridge University (geführt von der wunderbaren Ross Anderson .
IEEE hat Sicherheit und Datenschutz "als Magazin - es ist ziemlich gut.
Erwägen Sie, an einer lokalen OWASP-Kapitelsitzung teilzunehmen.
Ich benutze viele der anderen erwähnten Erwähnungen (Schneier wie erwähnt), aber ich habe herausgefunden, dass Slashdot mir ehrlich die besten "Heads-Ups" bezüglich der neuen Angriffsvektoren gibt. Es ist nicht immer zeitgemäß und meistens einfach ein allgemeiner Überblick, aber es ist gut darin, Vektoren zu veröffentlichen, an die ich nie gedacht habe.
Für die Software-Sicherheit und insbesondere für die Sicherheit von Webanwendungen OWASP Moderated AppSec News ist ein großartiger RSS-Feed. Gutes Signal / Rausch-Verhältnis. Es sollte reichen, um auf dem neuesten Stand zu sein.
Der Bereich des Registers . RSS verfügbar. (Ich bin ein großer Fan von El Reg.)
Außerdem könnte es für einen Coder ein wenig leicht sein, aber die Sicherheit jetzt! Podcast mit Steve Gibson und Leo Laporte ist anständig.
Wenn Sie es sich leisten können (oder Ihren Arbeitgeber überzeugen zu zahlen), gehen Sie zu mindestens einer Konferenz pro Jahr. Als letzten Ausweg gibt es immer Defcon, das an einem Wochenende stattfindet und nur 100 Dollar kostet. Es ist nicht so professionell wie, sagen wir, Black Hat, aber es ist besser als nichts.
RISKS ist nicht sicherheitsspezifisch, aber einige interessante sicherheitsrelevante Themen werden dort besprochen.
BUGTRAQ ist eine vollständige Sicherheitsmailing-Liste, die es wert ist, überflogen zu werden. (Jedes Mal, wenn eine Sicherheitslücke in einer Software entdeckt wird, die mit den meisten Linux-Distributionen ausgeliefert wird, gibt es eine Flut von Offenlegungen aus den verschiedenen Distributionen. Dies wirkt sich negativ auf das Signal-Rausch-Verhältnis aus, es sei denn, Sie verwenden eines davon Verteilungen.)
Einige sicherheitsbezogene Blogs, die interessant sein könnten (zusätzlich zu Schneier on Security, das bereits verlinkt wurde): ... und du wirst mich kennenlernen der Pfad der Bits , DoxPara Research (Dan Kaminsky) , Matasano Chargen , Microsofts Security Development Lifecycle , ZDNets "Zero Day ".
Sie finden Videos und MP3-Transkripte der letzten Konferenzen im Chaos Radio .
Für den Fall, dass Sie die Reise nicht machen können, werden die Gespräche normalerweise über Livestreams übertragen. Aufnahmen werden Wochen nach dem Event veröffentlicht.
Für Web-Sicherheit abonniere ich die folgenden Feeds: Einige werden regelmäßig aktualisiert, andere nicht.
DanchoDanchevOnSecurity < br> Internet Storm Center
Das Register (Unternehmenssicherheit)
US-CERT Cyber Security Bulletins
Zero Day
ha.ckers.org
und eine meiner neuesten Ergänzungen
Stapelüberlauf: getaggte Sicherheit
oder Sie können einfach alles zu Ihrer iGoogle-Hope-Seite hinzufügen: Meine iGoogle-Sicherheitsseite
Ich bin sicher, dass es mehr interessante Feeds gibt, wenn Sie mehr auf Anwendungen ausgerichtet sind.
Unabhängig davon, Feeds oder Websites besuchen ist der einzige Weg, um wirklich ganz oben auf den Dingen zu bleiben. Konferenzen sind großartig und es macht Spaß, sie zu besuchen, aber eine Stunde später erhalten Sie dieselben Informationen über das Internet. in der Regel mit dem zusätzlichen Vorteil, mehrere Sichtweisen zu haben, um Ihnen zu helfen, die Themen zu verstehen.
Dann gibt es die SIGSAC von ACM und die von ACM Transaktionen zur Informations- und Systemsicherheit . Mitglied der ACM zu werden, wird im Allgemeinen von den Autoren des Practical Programmer empfohlen.
Sicherheit jetzt! ist nicht schlecht (ich höre jede Woche).
Es enthält oft gute Erklärungen der zugrunde liegenden Technologien (z. B. wie weiß ein Router, wo er ein IP-Paket senden soll?), Obwohl ich glaube, dass es etwas weiter geht.
Wenn du einen Hardcore-Podcast willst, dann probiere Paul "dot com" 's Security Weekly .
Es ist wirklich für Penetration Tester, aber ich kann nicht umhin zu denken, dass wenn ein Penetrationstester es dann auch ich sollte.
Ein Blog, den ich (abgesehen von Schneier on Security) genieße, ist Light Blue Touchpaper - ein kollektives Blog der Computer-Sicherheitsforschungsabteilung von Cambridge University (geführt von der wunderbaren Ross Anderson .
IEEE hat Sicherheit und Datenschutz "als Magazin - es ist ziemlich gut.
Ich benutze viele der anderen erwähnten Erwähnungen (Schneier wie erwähnt), aber ich habe herausgefunden, dass Slashdot mir ehrlich die besten "Heads-Ups" bezüglich der neuen Angriffsvektoren gibt. Es ist nicht immer zeitgemäß und meistens einfach ein allgemeiner Überblick, aber es ist gut darin, Vektoren zu veröffentlichen, an die ich nie gedacht habe.
Erwägen Sie, an einer lokalen OWASP-Kapitelsitzung teilzunehmen.
Für die Software-Sicherheit und insbesondere für die Sicherheit von Webanwendungen OWASP Moderated AppSec News ist ein großartiger RSS-Feed. Gutes Signal / Rausch-Verhältnis. Es sollte reichen, um auf dem neuesten Stand zu sein.
Tags und Links security