Pour en savoir plus sur le développement de logiciels

(Ces documents sont seulement disponibles en anglais. Plusieurs des livres ci-dessous sont également avilable au CERN Bookshop).

Documents et sites Web à consulter absolument

• SANS top 25 most dangerous programming errors
  C'est non seulement une liste d'erreurs de programmation, mais aussi les manières de les éviter.
• OWASP Top Ten
  La liste du projet "Open Web Application Security" des 10 défauts de sécurité. En fait, la liste peut s'appliquer à (presque) tous les types de logiciels, et non pas seulement aux applications Web.
• Top 10 Secure Coding Practices
• SANS Web Application Checklist

Livres sur la sécurité des logiciels

• Writing Secure Code
  Michael Howard, David LeBlanc (Microsoft Press 2002)
  Un bon livre sur les différents aspects de la production de logiciels surs, intéressant aussi pour les développeurs des plateformes Unix/Linux.
• Secure Coding: Principles & Practices (voir aussi ici)
  Mark G. Graff, Kenneth R. van Wyk (O'Reilly 2003)
  Excerpt: Chapter 1: No Straight Thing
• Security Engineering
  Ross Anderson (Wiley 2003)
  Le contenu entier du livre est téléchargeable gratuitement.
• Building Secure Software
  John Viega, Gary McGraw (Addison Wesley 2001)
  Ce livre est relativement ancien, mais n'est pas obsolète, étant plus académique que technique.
  Informations de l'éditeur: Building Secure Software cuts to the heart of computer security to help students get security right the first time. Bugs in software are a serious problem and students must learn to take that into consideration early on in the software development lifecycle. Building Secure Software provides expert perspectives and techniques to help you ensure the security of essential software. If students learn to consider threats and vulnerabilities early in the development cycle they can build security into the system. With this book students will learn how to determine an acceptable level of risk, develop security tests, and plug security holes before software is even shipped.
  Excerpt: Chapter 1: Introduction to software security
• Practical Unix & Internet Security
  Simson Garfinkel, Gene Spafford, Alan Schwartz (3rd Edition by O'Reilly 2003)
  Excerpts: Chapter 16: Secure Programming Techniques (part 1), (part 2), (part 3), (part 4)

Livres sur la cryptographie

• Applied Cryptography: Protocols, Algorithms, and Source Code in C
  Bruce Schneier (2nd Edition by Wiley 1996)
  Un livre célèbre sur la cryptographie: explications des algorithmes et protocoles, conseils d'implémentation, etc.
• Practical Cryptography
  Niels Ferguson, Bruce Schneier (Wiley 2003)
  Une mise à jour sur la cryptographie.

• Modern Cryptography: Theory and Practice
  Wenbo Mao (Prentice Hall PTR 2003)
  Vous trouverez ici une révision indépendante (et enthousiaste) du livre.

Autres livres

• The Art of Deception
  Kevin D. Mitnick (Wiley 2002)
  Un livre fascinant sur l'ingénierie sociale écrit par un "hacker" célèbre.
• Security Warrior
  Cyrus Peikari, Anton Chuvakin (O'Reilly 2004)
  Probablement plus destiné aux administrateurs système, ce livre est tout de même intéressant pour les développeurs de logiciels.

Pour tous les utilisateurs
(experts ou non)

• Sept « good practices »
• Mots de passe &
  brosses à dents
• Commencer avec
  l'authentification
  à deux facteurs
• Mauvais mails pour vous:
  « hameçonnage », « SPAM » & fraude
• Comment identifier des courriels et documents joints malicieux
• Travailler à distance
• Comment sécuriser
  votre PC ou Mac
• Se connecter au CERN
• Chiffrer Windows PCs/laptops (Bitlocker), Macs (FileVault) and Linux (LUKS)
• Chiffrage avec SSH
• A propos des fichiers Windows, sécurité de Mozilla

Pour les développeurs

• Bonne programmation en C/C++, Java, Perl, PHP, ou Python
• Comment garder les secrets secrets
  (alternatives aux mots de passe)
• Checklist de sécurité
• Outils pour sécuriser GitLab CI (en anglais)
• Sécuriser les applications Web
• Outils d’analyse statique de code source
• Pour en savoir plus

Pour les propriétaires de systèmes

• Baselines de sécurité
• FAQ sur les vulnérabilités Linux du CERN
• Recherche de rootkits
• Sécuriser des conteneurs & pods
• Sécuriser les systèmes de contrôle (CNIC)