He estado escribiendo software durante ~ 7 años y he estado activamente interesado en seguridad para ~ 2-3. Este interés ha sido completamente auto-motivado y principalmente del lado del ataque; He escrito varias herramientas ofensivas de seguridad FOSS y he realizado inmersiones profundas en ciertos vectores de ataque como DNS reencuadernación . Debido a esta experiencia, logré obtener mi primer trabajo de infosec como ingeniero de seguridad de aplicaciones en una empresa de cómputo de VPS / cloud. Una de mis funciones será llevar a cabo revisiones periódicas del código de todo el software que creamos. No soy ajeno a leer el código y hacer sugerencias informales, pero esta será la primera vez que realizo revisiones sistemáticas y formales del código de otras personas con regularidad. Para ser honesto, estoy un poco intimidado. Tengo una pasión por la seguridad que he ejercido por mi cuenta durante años, pero nunca he estado a cargo de hacer recomendaciones autorizadas de alto riesgo sobre el tema, al menos no a nivel de código.
¿Alguien tiene alguna sugerencia sobre cómo obtener experiencia o comodidad con la realización de revisiones de código relacionadas con la seguridad ? Tengo dos semanas antes de asumir el cargo y me encantaría adquirir algo de experiencia en la revisión de códigos y aprender a recomendar las mejores prácticas antes de que aparezca en la empresa como una especie de figura de autoridad . ¡Cualquier consejo general, recomendaciones o pensamientos son muy apreciados!