OP, het lijkt erop dat je voornamelijk een ontwikkelaar bent, kijkend naar je bijdragen. Dus wat kan een ontwikkelaar doen om de beveiliging te verhogen?
In de eerste maand:
- 2 uur: probeer een versie een aantal externe afhankelijkheden / componenten / bibliotheken tegen te houden en probeer om de app opnieuw te bouwen. Documenteer de onverenigbaarheden als je faalt.
- 2 uur: doe wat nodig is om je eigen wijzigingen door CI / CD te pushen, door te testen, door de
master
branch en naar productie. Probeer andere ontwikkelingen te meeliften als die er zijn, maar let in dit geval vooral op het achterlaten van sporen die u daadwerkelijk iets nuttigs hebt gedaan (bv. Enkele PR's schrijven).
Herhaal elke maand, maar pas de scheidingslijn tussen de twee gaandeweg aan. (De kans is groot dat de laatste splitsing meer zal zijn als 10 minuten versus 3 uur en 50 minuten.)
Op deze manier repareer je de ergste vector - dat een van de populaire componenten / bibliotheken een maanden oude gepubliceerde kwetsbaarheid heeft ( CVE). Zwermen bots beginnen de hele internetpwning elke kwetsbare implementatie te scannen. Als je alleen de componenten van derden upgradet, zelfs alleen door (geïnformeerde?) Gissingen te doen, is er een behoorlijke kans dat je nooit het slachtoffer wordt en nooit nodig zult hebben om de echt onaangename situaties aan te pakken.
Dat is nogal triviaal voor ontwikkelaars, maar in de meeste bedrijven vermijden ontwikkelaars dergelijk oninteressant onderhoud. Het wordt een groot probleem voor de typische beveiligingsafdelingen (omdat ze applicaties niet opnieuw compileren). De grote inspanningen om "logboeken te analyseren" of "WAF's te implementeren" of "kwetsbaarheidsscans uit te voeren" zijn er voornamelijk om die kloof vanuit alle resterende mogelijke hoeken te dichten.
Op basis van je vraag lijkt het erop dat je vraagt hoe je je leren kunt focussen. Ik zou die veronderstelling hier en nu willen uitdagen. Degene die u 4 uur per maand heeft toegewezen, heeft al zijn eigen aanvraag afgebroken om te profiteren van uw zelfstudie. Onverantwoordelijk van hen! Om iets te leren dat aan dit project is gewijd, implementeer het dan, leer dan over uw fouten en herhaal ... Dat kan niet elke maand in stukken van 4 uur worden gedaan. "Repareer" dit niet, want het was niet jouw beslissing! Doe in de tijd van dit project dingen die je al goed weet.
Dat is een starter. Wat u in uw eigen vrije tijd probeert te leren en te implementeren, is uw voorkeur en uw eigen zaken. Ik denk dat het te breed is voor deze site (omdat je misschien besluit dat je niet geïnteresseerd bent in beveiliging, wat helemaal goed is), maar anderen gaven je sowieso heel veel leads. Zoek ook naar nuttige dingen tijdens je andere projecten. Sommige van de eerste of de laatste passen in deze 4 uur en helpen de staat van het project te verbeteren.