Bibliografía de Diseño de apliaciones seguras

Bibliografía básica

John Viega and Gary McGraw. Building Secure Software. Addison-Wesley
Se puede considerar el primero que se estableció como un texto completo dedicado a la seguridad en el desarrollo de programas. Más orientado hacia Unix, pero aprovechable por cualquiera. No habla prácticamente nada de la programación web. También en Building Secure Software.
Michael Howard, David C. LeBlanc. Writing Secure Code. Microsoft Press. Second Edition.
El libro de Microsoft. Bastante bueno, orientado a Windows y, como es un poco mas moderno, ya habla de los problemas relacioados con la programación web.
Sverre H. Huseby. Innocent Code. A security wake-up call for web programmers. Wiley.
Un libro orientado a la programación web. Cortito, se lee muy bien y se aprende mucho.

El punto de vista del atacante

Después se han publicado algunos libros que afrontan el problema desde otro punto de vista, igual excesivamente técnico en algunos casos y mas concentrado en el ataque que en la defensa. Podríamos decir que se trata de la segunda generación de libros, donde ya se abordan todos los problemas sin demasiados complejos:

Greg Hoglund, Gary McGraw. Exploiting Software. How to break code. Addison Wesley.
Se muestra (y demuestra) como es posible hacer que los programas se comporten de forma diferente de la que el programador pensaba. La idea es concienciar a los programadores de dónde están los puntos débiles y mostrarles como los 'chicos malos' pueden sacar partido de los defectos de nuestros programas.
Cyrus Peikari, Anton Chuvakin. Security Warrior. O'Reilly
Como el anterior, en algunos casos con mayor nivel de detalle.
Mike Andrews, James A. Whitaker, How to Break Web Software: Functional and Security Testing of Web Applications and Web Services. Addison-Wesley.
Es un libro especializado en el ataque a aplicaciones web, un poco en plan 'recetario'.

Ambos mundos

Libros que tratan de reunir las características de las dos 'familias' anteriores:

Gary McGraw. Software Security: Building Security In. Addison-Wesley.
¿La siguiente generación? Todavía no lo lei.

Libros en la red

Un par de libros gratuitos:

Varios autores. OWASP Guide to Building Secure Web Applications.
Una recopilación realizada por voluntarios.
J.D. Meier, Alex Mackman, Michael Dunner, Srinath Vasireddy, Ray Escamilla and Anandha Murukan. Improving Web Application Security: Threats and Countermeasures. Microsoft.
Concentrado en productos de Microsoft, principalmente .Net. Muy orientado a ofrecer listas de comprobación y recetas.
David A. Wheeler. Secure Programming for Linux and Unix HOWTO.
Uno de los primeros. Se ha quedado algo anticuado en algunos aspectos.

Otros libros

Finalmente, otros libros intersantes:

Mark G. Graff, Kenneth R. Van Wyk. Secure Coding: Principles and Practices. O'Reilly & Associates
John Viega, Matt Messier. Secure Programming Cookbook for C and C++. O'Reilly & Associates.
Gary McGraw, Edward W. Felten. Securing Java: Getting Down to Business with Mobile Code

Algunas listas de correo:

Actualizado el 12 de abril de 2003

ftricas@unizar.es

Alumnos: se puede utilizar el correo de merlin.unizar.es (ftricas)