it-swarm-korea.com

요즘 백악관 * 개발자 *는 어떤 보안 리소스를 따라야합니까?

요즘 어떤 사이트, 트위터 계정, FOSS 소프트웨어가 white-hat 코드 '해커'를 따라야합니까?

포함 :

  • 새로운 보안 문제 (RSS, Twitter 등)에 대한 최신 정보
  • 공급 업체 당 패치되지 않은 보안 문제를 추적하는 웹 사이트
  • 정보 보안 분야에서 잘 알려진 사람들의 트위터 계정, 블로그 등.
    • 이 사람들은 누구 니?
    • 그들은 무엇으로 알려져 있습니까?
  • 제로 데이 악용에 관한 정보를 게시하는 커뮤니티
    • 블로그, 트위터, 컨퍼런스, 대화방 (IRC)
  • 암호화에 대한 최신 지침 (알고리즘, 키 길이 등)과 각 보안 방법에 대한 최신 정보를 제공하는 주제 전문가
  • 보안 공간에 관심이있는 개발자를 지원하는 오픈 소스 소프트웨어 및 도구
  • 미국 및 해외에서 컴퓨터 해킹을 적용하는 청구서 및 법률에 관한 정보 (바람직하게는 프로그래머가 이해할 수있는 언어).
    • CAN-SPAM 행위 및 국가 별 개인 정보 보호법이 포함될 수 있습니다.
  • XSS 기술 및 순열의 전체 목록을 게시하는 사이트. 희망적으로 자신을 보호하는 데 사용할 수있는 코드

포함하지 마십시오 :

  • 인프라 및 네트워크 지원 그룹간에 공통적 인 지침
    • 최근 ASP.NET 보안 문제는 예외입니다.
    • 코드 나 프로그래밍에 중점을 두지 않는 목록이나 알림.
  • 오픈 소스가 아닌 소프트웨어 및 도구
  • 배포 체크리스트 (특히 관련 코드가없는 경우)
  • 보안 커뮤니티에서 잘 알고 신뢰하지 않는 일반 포럼 및 토론 목록

독자가이 모든 분야의 전문가가 아니기 때문에 각 링크에 대해 조금만 알려주고 링크의 "덤핑 그라운드"를 만들지 마십시오. 중복 링크를 게시하지 않도록 진지하게 시도하십시오.

이것이 "security".stackexchange.com이므로 일반적인 sysadmin 사이트보다 다양한 응답 범위를 갖기를 바랍니다. 필자의 경험에 따르면 sysadmins는 코드에서 멀리 떨어져 있으며 개발자는 실제로 코드를 사용할 때 두려움이 없습니다.

76
goodguys_activate

간결성을 위해 두 가지만 추가합니다.

  • OWASP 의 검토 된 블로그-대부분 새로운 공격, 벡터 등을 중심으로 다양한 보안 피드의 품질 게시물을 집계합니다.
  • Microsoft의 SDL 블로그 주로 주로 치료 전략, 완화, 위협 모델링 등에 중점을두고 발견 된 보안 결함 및 SDL의 영향 (또는 부족)에 대한 매우 개방적이고 정직한 분석 .
  • (곧 http://security.stackexchange.com 이 최고의 제품으로 여겨지기를 희망합니다 ... :))
33
AviD

보안 문제에 대한 최신 정보를 얻기 위해 따르는 몇 가지 리소스를 나열하려고합니다.

  1. 보안 포커스 : 해당 웹 사이트에서 취약성 및 보안과 관련된 모든 일반 및 특정 주제에 대한 많은 정보를 찾을 수 있습니다. 또한 정보 보안의 다양한 측면을 다루는 수많은 메일 링리스트를 호스팅합니다.
  2. Bruce Schneier의 블로그 : Bruce Schneier가 누구인지 설명 할 필요는 없다고 생각하지만, 그 사람에 대해 들어 보지 못했다면 여기 를 읽어보십시오.
  3. Bruce Schneier 's Twitter : Bruce는 또한 트위터 계정을 가지고 있습니다.
  4. 제품/공급 업체별 보안 메일 목록 : 소금에 걸 맞는 모든 크고 작은 제품에는 시간이 지남에 따라 발견 된 제품과 보안 관련 문제에 대한 정보를 추적하고 공유하는 데 사용되는 보안 목록이 있습니다. 예를 들어, 나는 슬랙웨어를 많이 사용했고 보안 권고 메일 링리스트를 따라 부지런히 따라 모든 보안 수정 사항으로 내 시스템에서 슬랙웨어를 최신 상태로 유지했습니다.
  5. phrack.com :이 잡지는 취약성, 익스플로잇, 버그 및 정보 및 네트워크 보안과 관련이있는 모든 것에 대한 정보를 제공합니다.
20
ayaz

내가 좋아하는 사이트 중 일부는 다음과 같습니다 (모두 RSS를 사용합니다).

  1. 최근 보안 관련 게시물이있는 이진 숫자에 대한 자세한 내용 http://www.exploringbinary.com
  2. 인터넷 보안 경보를위한 SANS 인터넷 스톰 센터 http://isc.sans.ed
  3. 통합 보안 뉴스를위한 InfoSec 뉴스 목록 http://www.infosecnews.org/
  4. SecurityNow 팟 캐스트 http://grc.com/securitynow.htm
  5. Daily Dave, 기술 보안 메일 링리스트 https://lists.immunitysec.com/mailman/listinfo/dailydave
  6. Didier Stevens의 블로그, 많은 PDF 관련 보안 게시물 http://blog.didierstevens.com
  7. 광범위한 맬웨어 경고를위한 F-Secure의 블로그 http://www.f-secure.com/weblog
  8. 기술 보안 게시물에 대한 lcamtuf의 블로그 http://lcamtuf.blogspot.com/
  9. 네트워크 보안 모니터링에 중점을 둔 TaoSecurity http://taosecurity.blogspot.com/
  10. Ksplice의 블로그, 소프트웨어 및 Linux에 대한 자세한 내용은 보안상의 장점 http://blog.ksplice.com
15
Eugene Kogan

이 블로그 를 읽는 것이 매우 유익합니다. 저자는 일반적으로 Linux 커널 및 기타 오픈 소스 프로젝트에서 취약점 발표를하고 다음을 보여줍니다.

  • 취약한 코드
  • 문제가 무엇인가
  • 패치
8
user185

아무도 Exploit-DB 를 언급하지 않은 이유는 무엇입니까?

**편집하다:

나는이 프로젝트를 모두에게 강력히 추천한다 : pentest-bookmark . 개인적으로 나는 유용한 정보를 많이 찾았습니다.

7
Tornike
7
Orca

아직 아무도 Krebs를 언급하지 않았습니까? 그는 가장 유명하고 신뢰할 수있는 보안 저널리스트 중 한 명입니다.

KrebsOnSecurity

더 많은 게시물을 게시하지만 OP는 게시물 당 하나만 요청했습니다 (아마도 일부 사람들은 읽기를 무시했습니다).

7
mrnap

26

전화 교환 시스템, 인터넷 프로토콜 및 서비스, 컴퓨터 "지하"및 왼쪽 날개, 때로는 (아직은 아니지만) 무정부주의 문제에 관한 일반 뉴스를 포함한 다양한 주제에 대한 기술 정보를 전문적으로 다루는 미국 간행물.

6
Everett

lightbluetouchpaper.org – 캠브리지 대학 컴퓨터 실 보안 그룹 블로그 – 영국의 새로운 법률 문제에 대해 다루고 있지만 관심있는 부분은 있지만 코더에게 실질적인 이점이있는 것은 아닙니다.

Nate Lawson의 블로그 코드 수준에서 실제로 유용한 취약점과 완화 요소를 제공합니다. 그는 BluRay 용 BD + 암호화를 공동 개발했으며 RSA, BlackHat 및 Google Tech Talk에서 발표했습니다.

5
Bell

DefCon

원래 1993 년에 시작된이 회사는 캐나다의 Fido 프로토콜 기반 해킹 네트워크 인 "Platinum Net"회원을위한 파티였습니다. 미국의 주요 허브로서 저는 Platinum Net 주최자 (그의 이름을 잊어 버렸습니다)가 모든 회원 BBS 시스템과 그 사용자를위한 폐회 계획을 세우도록 도와주었습니다. 그는 아빠가 새로운 직업을 가지고 떠날 때 네트워크를 종료하려고했습니다. 우리는 우리가 그것을 어디에서 가질 수 있는지에 대해 이야기합니다. 갑자기 그가 일찍 떠나서 사라 졌을 때. 미국 노드를 제외하고 종료 된 네트워크 파티를 계획 중이었습니다. 나는 도대체 무엇을 결정했고 내 BBS (A Dark Tangent System) 시스템이 CCI (Cyber ​​Crime International), Hit Net, Tired of Protection (ToP) 등의 일부인 다른 모든 네트워크의 구성원을 초대 할 것입니다. 기억할 수없는 8 명 #hack의 모든 사람을 초대하지 않으시겠습니까? 좋은 생각!

4
Everett

very 기술적 인 것들에 대해, 연구 문헌을 따라가는 것은 훌륭한 자원입니다. 나는 사전 인쇄 서버 (arxiv.org)의 암호화 및 소프트웨어 엔지니어링 피드를 따르고 있으며, 반드시 모든 논문을 읽지는 않지만 학계에 어떤 내용이 있는지 확인하고 초록과 다이빙 속도를 유지하는 것이 유용합니다. 흥미 있거나 관련된 자료로.

3
user185

보안 영역에 관심이있는 개발자를 지원하는 오픈 소스 소프트웨어 및 도구 :

http://fuzzdb.googlecode.com

2
user1569

커뮤니티 내에서 인기있는 보안 연구/해커를 팔로우 할 수 있도록 Twitter 계정을 만드십시오. 최근 해커 회의를보고 새로운 프레젠테이션을 찾고 발표자의 트위터 계정을 찾아보십시오. 개인 정보를 마이크로 블로그로 보내는 경우 팔로우를 해제하지만 뉴스를 리트 윗 할 경우 보관하십시오. 트위터의 추천과 그들이 따르는 사람들을보고 그 과정을 계속하십시오. 당신은 꽤 훌륭한 동료 리뷰 뉴스 피드로 끝납니다.

또한 IRC 다양한 보안 관련 오픈 소스 프로젝트를위한 지원 채널에서 행 아웃을 시도하십시오. 나는 정직하게 #metasploit에서 행 아웃하는 것만으로도 많은 것을 배웠습니다.

1
chao-mu

lonerunners.net의 SECDocs

멋진 웹 사이트는 매일 업데이트되는 신문, 슬라이드, 오디오, 보안 회의의 비디오로 구성됩니다. 매우 거대한 보안 정보 데이터베이스.

1
p____h

비록 웹 마스터가 기사 게시 프로세스를 커뮤니티의 손에 맡겨두었지만, http://rootsecure.net 을 읽는 동안, 매일 보안 링크를 모아 놓은 것입니다.

1
Orbit

Haacked 는 Microsoft 스택의 웹 개발자에게 훌륭한 리소스입니다.

Least Privilege 는 Microsoft 기술을 사용한 인증, 신원 및 페더레이션에 적합합니다.

1

SpaceRogue의 HNN Cast를 강력히 추천합니다

http://www.hackernews.com

지난 주 주요 기사를 정리하고 새로운 보안 관련 도구 및 업데이트를 언급하는 주간 비디오 캐스트입니다.

1
Casey
0
kiran

https://www.reddit.com/r/netsec/wiki/meetups/citysec 이것은 당신이 할 궁극적 인 자원입니다 infosec 필드에서 찾기

https://www.reddit.com/r/netsec/wiki/start

0
Ankush_nl