Estoy en conflicto. Quiero convertirme en un desarrollador de software, pero también estoy interesado en el aspecto de las redes ... ¿El desarrollo de software y la seguridad de la red son dos bestias completamente diferentes? Si lo son, ¿el aprendizaje podría convertirse en una situación de "jota de todos los oficios, maestro de ninguno"?
Debería especializarme o podría ser un desarrollador de software con un pasatiempo de "piratería".
Como desarrollador de 15 años que ha asumido el rol de prueba de lápiz, puedo decir que sí, hay muchas habilidades transferibles, algunas de las cuales lo pondrán en ventaja para los evaluadores que provengan de un entorno de seguridad puro.
En primer lugar y sobre todo, entiende la mentalidad de desarrollador, esto significa que probablemente entienda por qué un desarrollador eligió una solución particular y comprende algunos de sus procesos de pensamiento. Como desarrollador, usted tiene conocimiento de su "lenguaje" sobre cómo piensan y hablan, y como tal, debería poder comunicar cualquier hallazgo y recomendación de seguridad de una manera que un desarrollador pueda entender.
En segundo lugar, es probable que tenga una base de programación mucho mejor que muchos de los examinadores de lápiz, esto será muy útil para desarrollar herramientas y aplicaciones que ayuden (realmente he visto algunas de las herramientas unidas, es una maravilla que trabajar en absoluto;)
Revisión de código ... Este es un gran ganador obvio, solo necesitas comenzar a buscar patrones inseguros y expresiones idiomáticas inseguras.
Su comprensión de las prácticas de desarrollo de software (ágil, cascada, etc.) se puede aumentar rápidamente al aprender sobre BSIMM , SAMM , y SDL
Dependiendo de su experiencia como desarrollador, es posible que tenga una buena comprensión de los aspectos internos del sistema operativo / redes. Pasé algo de tiempo en el mundo de las redes y los sistemas operativos, lo que me pareció útil para informar a otros desarrolladores de lo que la computadora estaba realmente haciendo con su código. Del mismo modo, si ha pasado su tiempo en el mundo de la Web, ahí es donde probablemente estará su enfoque.
Vale la pena señalar que puede sentir que hay muchas áreas de conocimiento de las que carece, pero no hay evaluadores de la pluma que lo saben todo. Traerás tus propios conocimientos y habilidades, y mientras estés preparado para aprender y enseñar, será un movimiento profesional muy gratificante. También tiene la ventaja de que usted es realmente capaz de contratar en dos campos.
Soy un desarrollador y hago seguridad de la red como un negocio paralelo. He pasado mucho tiempo desde que empecé a desarrollar, así que después de aprender los conceptos básicos sobre seguridad, quería aprender más. Después de varios años, sigo aprendiendo sobre la seguridad de la red.
Idealmente, los desarrolladores necesitan saber lo más posible acerca de la seguridad, pero realmente no necesitan ingresar demasiados detalles (en general, basta con saber cómo aplicar los modelos de seguridad). Los profesionales de seguridad de redes también necesitan un poco (o más) de desarrollo para crear, mejorar o personalizar herramientas, generar informes, etc.
Todo dependerá de lo que quieras. ¿Desea hacer más desarrollo o prefiere hacer más seguridad en la red? Ambas formas requieren mucho tiempo y esfuerzo para aprender.
No sugeriría que me especialicen en ambos al mismo tiempo. Comience con el que le parezca que se adapta mejor a su perfil actual y sus oportunidades futuras, y a medida que pase el tiempo y comience a sentirse cómodo con él, comience a aprender sobre la otra área.
Lea otras preguntas en las etiquetas penetration-test software programming career