ソース(メンバーオンリー):
訳:
2021 年に自分の本の執筆を終えて以来、私はセキュリティとソフトウェア エンジニアリングの他の領域についてより幅広く学ぼうと努めてきて。
学習の多くはその場限りのグーグル検索から得られましたが、トピックのしっかりとした基礎を得る最良の方法の 1 つは、よく書かれた本を読むことだと感じています。 そこでこの記事では、専門書を読んで学んだことと、少ない時間とお金で本からより多くのことを学ぶ方法を共有したいと思い。
専門書が手頃な価格で買える
まず、専門書をもっと読もうとしたときに直面した問題の 1 つは、読みたい本にアクセスすることでした。 技術書は非常に高価で、平均すると 1 冊あたり約 50 ~ 100 米ドルです。
オライリーの定期購読
この問題を回避するために、O'Reilly ラーニング サブスクリプション ( https://learning.oreilly.com/home/ ) を取得しました。 これは、大規模な技術書籍ライブラリにアクセスできる学習プラットフォームのサブスクリプションです。 たとえば、バグ報奨金ブートキャンプは、O'Reilly を通じて利用できます。 オライリーのカタログは広範囲に及びますが、新刊書、小規模出版社の書籍、純粋に技術的な書籍はあまり含まれていません。
オープンソースとライブラリ
同じトピックに関する書籍のオープンソース バージョンを探してみることもできます。 適切なリソースを見つけるには多少の検索が必要になる場合がありますが、同じ情報がインターネット上の他の場所で入手できる可能性があります。 たとえば、この Github リポジトリ: https://github.com/EbookFoundation/free-programming-books では、豊富な技術書籍を見つけることができます。 このリポジトリにある書籍の中にはかなり古いものもありますが、セキュリティ、プログラミング、ネットワーキングの基礎に関する優れた資料を見つけることができます。
より少ない時間でより多くの本を読む
私のお気に入りの読書方法は、紙のペーパーバック本を読むことです。 ただし、キャリア関連の本、ノンフィクションの技術書、および少数の中心的なアイデアを教えることを目的とした本の場合は、通常、音声形式で読む方が効率的です。 私は、より多くのノンフィクション本から学ぶために、Audible (オーディオブック) と Blinkist (書籍要約サービス) を試し始めました。
しかし、エクスプロイトやコードを詳しく解説する非常に専門的な書籍に関しては、音声や要約はまったく機能しません。 これらの書籍では、新しいトピックを効率的に深く掘り下げることができるように、より的を絞ったアプローチを取る必要があります。
技術書を読む良い方法は、最初にタイトルとサブタイトルにざっと目を通し、トピックをすでによく知っている場合は、次のトピックに進むことです。 次に、馴染みのないトピックを見つけたら、そのセクションを深く掘り下げてください。 これは技術的なブログやチュートリアルにも適していることがわかりました。
セキュリティの入門書
私が読んだ中でおすすめの本を紹介します。 リンクから無料で入手できるものもあれば、定期購読を通じて購入できるものもあります。
- アリスとボブがアプリケーション セキュリティを学ぶ ( https://www.wiley.com/en-us/Alice+and+Bob+Learn+Application+Security-p-9781119687405 ): アプリケーション セキュリティに関するすべての入門レベルの概要を説明します。 意欲的なアプリケーション セキュリティ エンジニアとソフトウェア エンジニアを対象としています。
- Breaking into Infosec ( https://leanpub.com/ltr101-breaking-into-infosec ): 私はこの本をずっと前に読みましたが、その内容はおそらくそれ以来大きく変わっています。 ペネトレーション テスターやバグ バウンティ ハンターになるために必要な、ハードおよびソフトの基本的なスキルへの優れた入門書です。
- Web アプリケーション セキュリティ ( https://learning.oreilly.com/library/view/web-application-security/9781492053101/ ): 一般的な脆弱性、それらを悪用し防御する方法。 ソフトウェア エンジニア向けに書かれていますが、全体像を理解したいペネトレーション テスターにとっても良い読み物です。
- O'Reilly の Security Superstream ( https://learning.oreilly.com/playlists/606cb60f-523c-46a6-84d8-e4a4785e1d51/ ): Chloé が監修した、アプリケーション セキュリティのさまざまな分野を紹介する記事と書籍の章のリスト。
より高度なセキュリティ関連書籍
- DevOps の保護 ( https://www.manning.com/books/securing-devops ): 自動テスト、継続的デリバリー、その他のコア DevOps プロセスにセキュリティを組み込む方法。
- Designing Secure Software ( https://nostarch.com/designing-secure-software ): この本は、概念、設計、実装の 3 つの部分で構成されています。 「コンセプト」では基本的なセキュリティ概念について説明し、「デザイン」ではセキュリティの観点から設計をどのように考え、セキュリティ設計のレビューを行うかについて説明します。 「実装」では、安全なプログラミングとセキュリティ テストの作成について説明します。 私の書評全文はこちらからお読みください: https://vickieli.dev/book%20reviews/designing-secure-software/ 。
- Art of Attack ( https://learning.oreilly.com/library/view/the-art-of/9781119805465/ ): レッド チームと物理的な侵入テストのストーリー、攻撃者の戦略、およびこれらの戦略の背後にある心理。 ソフトウェアのみを扱う私のような人間にとって、これは興味深い読み物です。
- 実践的なクラウド セキュリティ ( https://learning.oreilly.com/library/view/practical-cloud-security/9781492037507/ ): 資産管理、ID 管理、脆弱性管理、ネットワーク セキュリティ、インシデント対応など、主にインフラストラクチャ セキュリティのトピック。
- コンテナーのセキュリティ ( https://learning.oreilly.com/library/view/container-security/9781492056690/ ): コンテナーの仕組み、コンテナーの悪用方法、コンテナーのセキュリティー保護方法。 この本は本当に楽しかったです。リズ・ライスは抽象的な技術的なトピックを興味深く魅力的にする才能を持っています。
- Staff Engineer's Path ( https://learning.oreilly.com/library/view/the-staff-engineers/9781098118723/ ): エンジニアとしてのキャリアをレベルアップする方法。 大局的な思考を養い、プロジェクトの成功を支援し、組織内でロールモデルとなるなどのスキルに重点を置きます。 私はこの本で語られているスキルをまだあまり持っていませんが、集中的に開発すべき多くのソフトスキルを教えてくれました。
- API のハッキング ( https://nostarch.com/hacking-apis ): API ハッキングのバイブル! Bug Bounty Bootcamp に似ていますが、API 用です。
- OWASP Web セキュリティ テスト ガイド ( https://owasp.org/www-project-web-security-testing-guide/stable/ ): OWASP は、OWASP Web セキュリティ テスト ガイドなど、非常に役立つさまざまなリソースを公開しています。脅威モデリング、安全なコードレビュー、ペネトレーションテストなどの手順を実行します。
- OWASP モバイル セキュリティ テスト ガイド ( https://mobile-security.gitbook.io/mobile-security-testing-guide/ ): OWASP テスト ガイドのモバイル バージョン。
- OWASP チート シート シリーズ ( https://cheatsheetseries.owasp.org/cheatsheets/Authorization_Cheat_Sheet.html ): 私は、多くのセキュリティのベスト プラクティスを詳細に概説している OWASP チート シート シリーズの大ファンでもあります。 セキュリティの概念やベスト プラクティスがあいまいなときによく参照します。 ブックマークバーに追加すると便利です。
ほなほな。