Je suppose que commencer par le développement sécurisé signifierait trois étapes:
Identifier et comprendre la grande image: ce qui peut aller mal
Cela signifie comprendre les aspects techniques d'une vulnérabilité et comment il contribue à rendre les choses vont mal.
Typiquement, j'irais avec le Top 10 des failles de sécurité des applications web de l'OWASP (google: owasp top 10 2007).
Si vous ne le comprenez pas, alors, s'il vous plaît, demandez des conseils. Comprendre un tel document ne vous dit pas directement comment construire du code sécurisé, mais c'est un bon indicateur de votre niveau de compréhension du développement sécurisé.
Trouver les bonnes pratiques générales qui mènent à assurer un développement
Alors que de nombreux documents vous dire comment les choses peuvent mal tourner, peu de ressources vous dire vraiment comment les éviter d'une manière générale.
Actuellement, je vous recommande surtout ces ressources:
- David Rook "Les principes de développement sécurisé" (google: david principes freux de développement sécurisé)
- OWASP Top 10 vulnérabilités pages de la section de protection (chaque entrée est cliquable sur la version en ligne du Top 10)
trouver des ressources sur mesure pour votre technologie
Accédez aux ressources qui vous indiquent «comment faire ceci» dans une langue que vous parlez. Typiquement, C#. Le portail MSDN fournit aux développeurs de nombreuses listes de contrôle de sécurité (http://msdn.microsoft.com/en-us/library/ms998408.aspx). Enfin, entrez: connectez-vous régulièrement à la sécurité des applications, recherchez des blogs, lisez des nouvelles (créez des alertes Google avec des noms de vulnérabilités ou des mots tels que 'sécurité des applications' ou 'développement sécurisé') et voyez ce qui se passe.
Espérons que ça aide.
sb
PS: désolé pour les liens 'google', je suis un nouvel utilisateur et ne peut poster 1 url dans mes réponses :(
L'article m'a fait remarquer sur la page Web de sécurité de Microsoft [http://msdn.microsoft.com/en-us/security/default.aspx] et leurs outils SDL - plus pour les tests, juste ce que je cherchais. – user173847