OP, il semble que vous soyez principalement un développeur, en regardant vos contributions. Alors, que peut faire un développeur pour augmenter la sécurité?
Au cours du premier mois:
- 2 heures: essayez de modifier une version de certaines dépendances / composants / bibliothèques externes et essayez pour reconstruire l'application. Documentez les incompatibilités en cas d'échec.
- 2 heures: faites tout ce qui est nécessaire pour pousser vos propres modifications via CI / CD, via des tests, via la branche
master
et en production. Essayez de rattacher d'autres développements s'il y en a, mais dans ce cas, faites particulièrement attention à laisser des traces que vous avez réellement fait quelque chose d'utile (par exemple, créer des PR).
Répétez tous les mois, mais ajustez la ligne de division entre les deux au fur et à mesure. (Il y a de fortes chances que la séparation finale soit plus de 10 minutes contre 3 heures 50 minutes.)
De cette façon, vous corrigez le pire vecteur - que l'un des composants / bibliothèques populaires a une vulnérabilité publiée il y a des mois ( CVE). Des essaims de robots commencent à analyser l'intégralité de l'Internet, repérant chaque déploiement vulnérable. Si vous mettez simplement à niveau les composants tiers, ne serait-ce qu'en faisant des suppositions (informées?), Il y a de bonnes chances que vous ne deveniez jamais une victime et que vous n'ayez jamais besoin de gérer les situations vraiment désagréables.
C'est assez trivial pour les développeurs, mais dans la plupart des entreprises, les développeurs évitent une telle maintenance inintéressante. Cela devient un gros problème pour les services de sécurité typiques (car ils ne recompilent pas les applications). Les grands efforts pour «analyser les journaux» ou «mettre en œuvre des WAF» ou «effectuer des analyses de vulnérabilité» visent principalement à couvrir cette lacune sous tous les angles possibles.
D'après votre question, il semble que vous vous demandez comment concentrer votre apprentissage . Je voudrais contester cette hypothèse ici et maintenant. Celui qui vous a alloué 4 heures par mois a déjà coupé sa propre candidature du bénéfice de votre auto-formation. Irresponsable de leur part! Pour apprendre quelque chose de dédié à ce projet, puis le mettre en œuvre, puis apprendre sur vos erreurs et itérer ... Cela ne peut pas être fait par tranches de 4 heures chaque mois. Ne «réparez» pas cela, car ce n'était pas votre décision! À l'époque de ce projet, faites des choses que vous connaissez déjà bien.
C'est un début. Ce que vous essayez d'apprendre et de mettre en œuvre pendant votre temps libre, c'est votre préférence et votre propre entreprise. Je pense que c'est trop large pour ce site (car il se peut que vous décidiez que la sécurité ne vous intéresse pas, ce qui est tout à fait correct), mais d'autres vous ont quand même donné des tonnes de pistes. Recherchez également des éléments utiles lors de vos autres projets. Certains des premiers ou des derniers s'inscriront dans ces 4 heures et contribueront à améliorer l'état du projet.