Esta pregunta es bastante amplia. La respuesta general es que necesita saber todo para que la aplicación sea tan segura como lo exigen los requisitos (tanto externos como internos). Sí, esa es una respuesta de policía. Estoy de acuerdo y en desacuerdo con la respuesta de Ryan sobre OWASP, estoy de acuerdo en que es útil, pero en realidad no es universalmente aplicable. Un desarrollador de sistemas integrados tendrá requisitos de seguridad muy diferentes a los que tendrá un desarrollador web. También hay más que OWASP. Por ejemplo, si acepta tarjetas de crédito, debe cumplir con PCI-DSS. Si trabaja con alguna institución financiera, es posible que deba cumplir con niveles más altos de seguridad. La buena noticia es que si trabajas para ellos directamente, entonces sabes qué hacer o te entrenarán. La mala noticia es que si trabajas para un vendedor, entonces es posible que no recibas el mismo tratamiento. Luego obtendrá los requisitos que requerirán que investigue y solicite aclaraciones. Y luego tendrás que aprender sobre la marcha.
Lea la página de seguridad informática de Wikipedia, ya que contiene mucha información buena. La CBT de seguridad obligatoria para desarrolladores que tomé a principios de año definió las cosas con palabras ligeramente diferentes, pero el significado es el mismo. Si está buscando cosas buenas para la web en general, entonces, como dijo Ryan, OWASP es a dónde ir. Pero recuerde que OWASP no es el final, es probable que tenga que ir más allá.
¡Buena suerte!
- ¿Qué es lo que diferencia a los ingenieros de software de las principales empresas y otros?
- ¿Debo obtener una pasantía en una startup (desarrollo web y de aplicaciones) o corporativa (algún proyecto paralelo en C, C ++)?
- ¿Cuáles son las especificaciones mínimas requeridas en una computadora portátil para un ingeniero de software?
- ¿Cuál es el tamaño del mercado de TI de Waterloo, Ontario, Canadá? ¿Qué es un rango de pago para un ingeniero de software?
- ¿Cómo recoge Amazon SDE las nuevas habilidades y conocimientos para llevar a cabo un proyecto? ¿Hay algún programa o curso de capacitación interna?