web-dev-qa-db-ja.com

ホワイトハットの*開発者*は、最近どのようなセキュリティリソースに従うべきですか?

最近、どのサイト、Twitterアカウント、FOSSソフトウェアで ホワイトハット コード「ハッカー」をフォローする必要がありますか?

インクルード:

  • 新しいセキュリティ問題に関する最新情報(RSS、Twitterなど)
  • ベンダーごとにパッチ未適用のセキュリティ問題を追跡するWebサイト
  • 情報セキュリティの世界でよく知られている人々からのTwitterアカウント、ブログなど。
    • これらの人々は誰ですか?
    • 彼らは何のために知られていますか?
  • ゼロデイエクスプロイトに関する情報を公開するコミュニティ
    • ブログ、Twitter、会議、チャットルーム(irc)
  • 暗号に関する最新のガイダンス(アルゴリズム、キーの長さなど)、およびそれぞれの安全性に関する最新の情報を提供する主題の専門家
  • セキュリティ分野に関心のある開発者を支援するオープンソースソフトウェアとツール
  • 米国および海外(できればプログラマーが理解できる言語)でコンピューターハッキングを適用する法案および法律に関する情報。
    • おそらくCAN-SPAM法と州ごとのプライバシー法が含まれます
  • XSS手法と順列のexhaustiveリストを公開するサイト。うまくいけば、自分を保護するために使用できるコード

ください、含めないでください:

  • インフラストラクチャとネットワークのサポートグループに共通のガイダンス
    • 例外は、最近のASP.NETのセキュリティ問題です。
    • コードまたはプログラミングに焦点を当てていないリストまたは通知。
  • オープンソースではないソフトウェアとツール
  • 展開チェックリスト(特に、コードが関連付けられていない場合)
  • セキュリティコミュニティによってよく知られ、信頼されていない限り、一般的なフォーラムとディスカッションリスト

読者はこれらすべての分野の専門家ではない可能性が高いため、各リンクについて少し教えてください。リンクの「ダンピンググラウンド」を作成しないでください。重複したリンクを投稿しないように真剣に試みてください。

これは "security" .stackexchange.comなので、通常のsysadminサイトよりも多様な応答を得たいと思います。私の経験では、システム管理者はコードから離れており、開発者はそれが実際に問題になることを心配していません。

76

簡潔にするために、2つだけ追加します。

  • [〜#〜] owasp [〜#〜] のモデレートブログ-多くの多様なセキュリティフィードからの質の高い投稿を集約し、主に新しい攻撃、ベクターなどを中心にしています。
  • Microsoftの SDLブログ 、主に修正戦略、緩和策、脅威のモデリングなどに焦点を当てており、発見されたセキュリティの欠陥とSDLの影響(またはその欠如)の非常にオープンで正直な分析も時折行われます。
  • (すぐに http://security.stackexchange.com がトップオファリングと見なされることを願っています... :))
33
AviD

セキュリティの問題について最新の状態を保つために、私がフォローしているいくつかのリソースをリストアップします。

  1. Security Focus :そのWebサイトには、脆弱性、およびセキュリティに関連するあらゆる種類の一般的なトピックと特定のトピックに関するさまざまな情報が表示されます。また、情報セキュリティのさまざまな側面を扱う多数のメーリングリストもホストしています。
  2. Bruce Schneierのブログ :Bruce Schneierが誰であるかを説明する必要はないと思いますが、彼について聞いたことがない場合は、彼について読むことができます こちら
  3. Bruce SchneierのTwitter :BruceにもTwitterアカウントがあります。
  4. 製品/ベンダー固有のセキュリティメーリングリスト:その価値があるすべての大小の製品には、時間とともに発見された製品のセキュリティ関連の問題に関する情報を追跡および共有するために使用されるセキュリティリストがあります。たとえば、私はslackwareを頻繁に使用し、セキュリティアドバイザリメーリングリストをよくフォローして、すべてのセキュリティ修正を適用してシステムでslackwareを最新の状態に保ちました。
  5. phrack.com :このマガジンには、脆弱性、エクスプロイト、バグ、および情報とネットワークセキュリティに関連するその他すべての情報が豊富に含まれています。
20
ayaz

以下は私のお気に入りのサイトの一部です(私はそれらすべてにRSSを使用しています):

  1. 2進数の詳細と、最近のセキュリティ関連の投稿 http://www.exploringbinary.com
  2. SANS Internet Storm Center、インターネットセキュリティアラート用 http://isc.sans.ed
  3. InfoSecニュースリスト、統合セキュリティニュース用 http://www.infosecnews.org/
  4. SecurityNowポッドキャスト http://grc.com/securitynow.htm
  5. Daily Dave、テクニカルセキュリティメーリングリスト https://lists.immunitysec.com/mailman/listinfo/dailydave
  6. Didier Stevensのブログ、PDF関連のセキュリティに関する投稿 http://blog.didierstevens.com
  7. F-Secureのブログ、広範囲にわたるマルウェアアラート http://www.f-secure.com/weblog
  8. lcamt​​ufのブログ、技術的なセキュリティの投稿 http://lcamt​​uf.blogspot.com/
  9. TaoSecurity、ネットワークセキュリティの監視に焦点を当てた http://taosecurity.blogspot.com/
  10. Kspliceのブログ。ソフトウェアとLinuxについての詳細ですが、セキュリティの風味を備えています http://blog.ksplice.com
15
Eugene Kogan

このブログ を読むことは非常に有益です。著者は、通常Linuxカーネルだけでなく、他のオープンソースプロジェクトでも脆弱性の発表を行い、次のことを示しています。

  • 脆弱なコード
  • 問題は何ですか
  • パッチ
8
user185

なぜ誰も言及しなかった Exploit-DB

**編集:

私はこのプロジェクトをみんなにお勧めします: pentest-bookmark 。個人的に私は多くの有用な情報を見つけました。

7
Tornike
7
Orca

まだ誰もクレブスに言及していませんか?彼は、最も有名で信頼できるセキュリティジャーナリストの1人です。

KrebsOnSecurity

私はもっ​​と投稿しますが、OPは投稿ごとに1つだけ要求しました(明らかに一部の人々は読むのを怠っていました)。

7
mrnap

26

電話交換システム、インターネットプロトコルとサービス、コンピュータの「地下」と左翼、そして時には(最近ではないが)アナキストの問題に関する一般的なニュースなど、さまざまな主題に関する技術情報の公開を専門とするアメリカの出版物。

6
Everett

lightbluetouchpaper.org -ケンブリッジ大学コンピュータ研究所のセキュリティグループのブログ-関心のある他のビットの中で、英国で新たに発生した法的問題についての報道を提供しますが、必ずしもコーダーにとってすぐに実用的なメリットとは限りません。

ネイトローソンのブログ は、コードレベルで実際に素晴らしい実用的な脆弱性と緩和策を提供します。彼はブルーレイ用のBD +暗号を共同開発し、RSA、BlackHat、Google Tech Talkでプレゼンテーションを行っています。

5
Bell

DefCon

もともとは1993年に開始され、カナダのFidoプロトコルベースのハッキングネットワークである「プラチナネット」のメンバーのためのパーティーになることを意図していた。米国の主要拠点として、私はプラチナネットの主催者(彼の名前は忘れました)がすべてのメンバーのBBSシステムとそのユーザーのためのクロージングパーティーを計画するのを手伝っていました。父親が新しい仕事を引き受け、引っ越さなければならなくなったとき、彼はネットワークをシャットダウンしようとしていました。私たちはそれをどこに保持するかについて話しました。突然、彼はすべて早く出発して姿を消しました。私は、米国のノードを除いて、シャットダウンされたネットワークのパーティーを計画していました。私は一体何を決定しました。私のBBS(A Dark Tangent System)システムがCyber​​ Crime International(CCI)、Hit Net、Tyred of Protection(ToP)などを含む一部であった他のすべてのネットワークのメンバーを招待します思い出せない8人。みんなを#hackに招待してみませんか?良いアイデア!

4
Everett

very技術的なものについては、研究文献についていくことは素晴らしいリソースです。私はプレプリントサーバー(arxiv.org)の暗号化とソフトウェアエンジニアリングのフィードをフォローしています。確かにすべての論文を読んでいるわけではありませんが、学界が何を考えているのかを確認し、要約とダイビングに遅れずについていくのに役立ちます。興味深いまたは関連する資料に。

3
user185

セキュリティ分野に関心のある開発者を支援するオープンソースソフトウェアとツール:

http://fuzzdb.googlecode.com

2
user1569

コミュニティ内の人気のあるセキュリティ調査/ハッカーをフォローできるように、Twitterアカウントを取得します。最近のハッカー会議を調べ、斬新なプレゼンテーションを探し、プレゼンターのTwitterアカウントを探しましょう。マイクロブログの個人情報の場合はフォローを解除し、ニュースをリツイートした場合は保持します。 Twitterの推奨事項とフォローしているユーザーを見て、プロセスを続行してください。あなたは結構素晴らしいピアレビューされたニュースフィードで終わります。

IRCサポートチャネルでセキュリティ関連のさまざまなオープンソースプロジェクトをサポートしています。正直に言うと、#metasploitでハングアウトするだけで多くのことを学びました。

1
chao-mu

lonerunners.netのSecDocs

セキュリティ会議からの毎日更新される論文、スライド、オーディオ、ビデオで構成される素晴らしいウェブサイト。セキュリティ情報のかなり巨大なデータベース。

1
p____h

http://rootsecure.net をしばらく読んでいますが、毎日のセキュリティリンクの集まりですが、ウェブマスターは記事の投稿プロセスをコミュニティに委ねただけです。

1
Orbit

Haacked は、MicrosoftスタックのWeb開発者にとって素晴らしいリソースです

最小特権 は、Microsoftテクノロジーとの認証、アイデンティティ、およびフェデレーション向けのもう1つの優れた機能です。

1

SpaceRogueのHNNキャストを強くお勧めします

http://www.hackernews.com

これは毎週のビデオキャストで、前週のトップストーリーをまとめ、新しいセキュリティ関連のツールとアップデートについて言及しています。

1
Casey
0
kiran

https://www.reddit.com/r/netsec/wiki/meetups/citysecこれは、あなたが行うULtimate Resoucesですinfosecフィールドで見つける

https://www.reddit.com/r/netsec/wiki/start

0
Ankush_nl