Ho scritto software per ~ 7 anni e sono stato attivamente interessato alla sicurezza per ~ 2-3. Questo interesse è stato interamente auto-motivato e principalmente dal lato di attacco; Ho scritto diversi strumenti offensivi di sicurezza FOSS e ho fatto immersioni profonde in alcuni vettori di attacco come rebinding DNS . Grazie a questa esperienza, sono riuscito ad inviare il mio primo lavoro di infosec come Application Security Engineer presso una società di elaborazione VPS / cloud. Uno dei miei ruoli sarà quello di condurre revisioni periodiche del codice di tutto il software che costruiamo. Non sono estraneo alla lettura del codice e alla formulazione di suggerimenti informali, ma questa sarà la mia prima volta a condurre revisioni sistematiche e formali del codice di altre persone su base regolare. Ad essere onesti, sono un po 'intimidito. Ho una passione per la sicurezza che ho esercitato da sola per anni, ma non ho mai avuto l'incarico di formulare raccomandazioni autorevoli ad alto rischio sull'argomento, almeno non a livello di codice.
Qualcuno ha qualche suggerimento su come ottenere esperienza o comfort con la conduzione di recensioni del codice relative alla sicurezza ? Ho due settimane per assumere il ruolo e mi piacerebbe avere una certa esperienza con la revisione del codice e l'apprendimento per raccomandare le migliori pratiche prima di apparire in azienda come una sorta di figura dell'autorità . Qualsiasi consiglio generale, consigli o pensieri sono molto apprezzati!