我是一名程序员,现在主要从事 Web 开发,还负责保护我工作中的 Web 应用程序。我对安全问题有合理的了解,但并不总是了解最新的发展(主要是由于懒惰和缺乏时间)。我没有进行任何渗透测试,也不打算只专注于安全性,尽管我当然希望确保我的项目安全。
那么,从这个角度来看,我是否值得进行 SANS 培训——我特别指的是像DEV522或SEC542这样的培训课程?他们是否会增加我的知识,足以证明在他们身上花费一周是合理的(当然还有钱:)?我参加了他们的免费评估测试,并在没有任何准备的情况下,在一半的时间里取得了 92% 的成绩(我怀疑遗漏的一些首字母缩略词超出了我的工作范围),但不确定这是否意味着什么。
特别有趣的是从参加过其中一门课程或类似课程的具有相似背景的人那里听到。
PS 我理解这有点主观,但鉴于背景信息,我认为有很多具有相似背景的人可能会使用这些信息。我只是想尝试根据普通的安全意识程序员的水平来估计课程的水平。
PPS 对于多疑的人:我与 SANS 无关,对它们了解不多,我发布链接只是为了清楚询问的内容。但我喜欢你的想法:)
我的主观意见是,这些特定的课程对你来说不值得。
这些课程价格昂贵,每门课程 4,000 美元以上。它们是高度结构化的并被压缩到很短的时间内。这些课程非常适合需要快速学习并在结构化的紧张正式环境中表现出色的人。
根据评估测试,您似乎了解很多材料。你似乎并不着急,看起来你对学习如何编写好的软件比获得认证或写安全论文更感兴趣。(我有安全认证,我喜欢阅读安全论文。)
在我看来,学习编写安全软件最好通过编写软件、让同行审查、测试、发现漏洞和修复漏洞来完成。不要以为这一切都必须为您的雇主完成。关注OWASP或CERT.org或Dark Reading上的公告和新闻。为蜜罐项目做出贡献。在 security.stackexchange.com 阅读并回答问题
为课堂教学收集、排序和格式化安全知识需要时间。虽然一些讲师会将一些“最新发展”引入他们的课程,但课程中的大部分内容都会经过严格审查的安全知识。
我认为这些课程有价值,只是不适合你。
我参加了 SANS 课程,假设您有适当的基础进入特定课程,它们非常棒。
不值 4000 美元以上的个人资金,但绝对值得让你的经理或公司为此买单。