Quienes me tengan en Linkedin habrán visto que hace un par
de semanas cambié de trabajo (un gran abrazo a todo mis viejos compis), el
principal cambio es que he pasado de estar dando vueltas con el coche a la
tranquila vida del transporte público.
Os cuento eso porque dos horas al día de lectura/estudio dan
para mucho por lo que puede que estéis una temporada viendo este tipo de posts
sobre libros interesantes de leer.
Hoy os traigo un 2x1 dos libros en un solo post.
¿Quién no conoce OWASP? Seguro que casi todos los que estáis
leyendo este blog sabéis que es OWASP y sabéis que tiene una barbaridad de
proyectos, todos ellos relacionados con la seguridad.
Algunos de esos proyectos se acaban materializando en guias
fantásticas y de eso quiero hablaros hoy:
Uno de los textos que nacieron durante los años más
prolíficos de OWASP (2008) una maravilla de guía que nos da todo un paseo sobre
cómo revisar código.
Después de unos temas de introducción aborda esas partes,
que casi todo programa tiene, y son un punto de interés: Autenticación,
Autorización, Administración de sesiones, entrada de datos, control de errores,
criptografía...
Quienes hicieron esta guía se tomaron muchas molestias en
que todo estuviera ilustrado con ejemplos de código, encima doble ya que todos
los puntos tienen ejemplos tanto de Java como de .NET lo cual es una maravilla
para los que estamos empezando en temas de desarrollo seguro.
Como crítica dos cosillas:
- Desactualizado en algunos puntos, desde 2008 a hoy han
cambiado cosas e incluso código. La buena noticia es que si buscas el proyecto
hay una Alpha por lo que parece que está en camino la nueva versión de esta
guía. Os animo a quienes sepáis de estos temas a que colaboréis os dará
reputación y formareis parte de una de las joyas de la corona de OWASP.
- Checklist: AL final de documento si lista una serie de órdenes
a revisar pero se echa une falta una buena checklist. Lo bueno es que ando
acabando otro libro que si incluye la mejor checklist que he visto hasta ahora,
espero podéroslo subir dentro de poco.
OWASP Guide
Este documento está traducido al castellano como "Una guía
para construir aplicaciones y servicios web seguros".
Trata de otra de las estrellas de OWASP, este aún es más antiguo
que el anterior, su versión traducida al castellano data de 2005 pero es toda
una maravilla.
Al igual que la guía anteriormente dicha pasa por
autenticación, autorización, manejo de sesiones... Pero en este caso desarrolla
más los contenidos dando pautas de las diferentes vías por donde pueden venir
los problemas y cómo prevenirlos.
Es mucho más teórica, apenas contiene ejemplos d código pero
dada lo antigua que es eso la hace más útil hoy en día.
Una autentica maravilla de texto, del cual creo que también
hay un proyecto para actualizarlo y espero que alguien se anime a colaborar.
Por resumirlo es una checklist gigante pero desarrollando
todos los puntos enormemente.
Una maravilla, sus más de 300 páginas os parecerán poco.
Espero que con este post os haya acercado un poco más las guías
que tiene OWASP, tiene tantos proyectos que navegar entre sus páginas y saber
que hay puede acabar siendo una locura pero OWASP es una comunidad abierta, os
animo a que nadéis en ella y, si os veis con fuerza, apuntaros a algún
proyecto.
No hay comentarios:
Publicar un comentario
Esperando tu comentario...