Sono in conflitto. Voglio diventare uno sviluppatore di software ma sono anche interessato al lato del networking delle cose ... Lo sviluppo del software e la sicurezza della rete sono due bestie completamente diverse? Se lo sono, potrebbe imparare entrambi diventare una situazione di "tutto fuorché padrone di nessuno"?
Dovrei specializzarmi o potrei essere un Dev software con un hobby "hacking".
Come sviluppatore di 15 anni che si è trasferito in un ruolo di pen-test, posso dire che sì ci sono molte competenze trasferibili, alcune delle quali ti metteranno a vantaggio dei tester che provengono da un puro background di sicurezza.
Prima di tutto capisci la mentalità degli sviluppatori, questo significa che probabilmente capisci perché uno sviluppatore ha scelto una particolare soluzione e ha compreso alcuni dei suoi processi mentali. Come sviluppatore hai una conoscenza del loro "linguaggio" su come pensano e parlano, e in quanto tale dovresti essere in grado di comunicare qualsiasi risultato e raccomandazione sulla sicurezza in modo che uno sviluppatore possa capire.
In secondo luogo probabilmente hai una base di programmazione molto migliore rispetto a molti pen-tester, questo sarà molto utile per lo sviluppo di strumenti e app per aiutare (in realtà ho visto alcuni degli strumenti hackerati insieme, è una meraviglia che essi lavorare affatto;)
Code Review ... Questo è un ovvio grande vincitore, devi solo iniziare a cercare modelli non sicuri e idiomi linguistici insicuri.
La tua comprensione delle pratiche di sviluppo del software (agile, cascata, ecc.) può essere rapidamente aumentata con l'apprendimento di BSIMM , SAMM e SDL
A seconda del background del tuo sviluppatore, potresti avere una buona conoscenza di OS / intranet di rete. Ho passato un po 'di tempo nel mondo di networking / OS, che ho trovato utile per informare gli altri sviluppatori su come il realmente facesse il computer con il loro codice. Allo stesso modo, se hai trascorso il tuo tempo nel mondo Web, è lì che probabilmente si concentrerà il tuo focus.
Vale la pena notare che puoi sentire che ci sono vaste aree di conoscenza che ti mancano, ma non ci sono pen-tester che sanno tutto. Porterai le tue conoscenze e abilità e, finché sarai pronto per imparare e insegnare, sarà una mossa di carriera molto gratificante. Ha anche il vantaggio di renderlo veramente disponibile in due campi.
Sono uno sviluppatore e faccio la sicurezza della rete come attività secondaria. Ho molto tempo da quando ho iniziato a sviluppare, quindi dopo aver appreso le basi della sicurezza ho voluto saperne di più. Dopo diversi anni, continuo a conoscere la sicurezza della rete.
Idealmente, gli sviluppatori devono sapere il più possibile sulla sicurezza, ma non hanno davvero bisogno di entrare troppo nel dettaglio (solo sapere come applicare i modelli di sicurezza è in genere sufficiente). I professionisti della sicurezza di rete hanno anche bisogno di un po '(o più) di sviluppo, di creazione, miglioramento o personalizzazione di strumenti, generazione di report, ecc.
Tutto dipenderà da ciò che vuoi. Vuoi fare più sviluppo o preferisci fare più sicurezza di rete? Entrambe le modalità richiedono molto tempo e impegno per imparare.
Non suggerirei di specializzarsi in entrambi allo stesso tempo. Inizia con quello che ritieni più adatto al tuo profilo attuale e alle tue opportunità future e, man mano che il tempo passa e inizi a sentirti a tuo agio, inizia a conoscere l'altra area.
Leggi altre domande sui tag software penetration-test programming career