没有训练-值得吗？

Question

我是一名程序员，现在主要从事web开发，还负责保护我的工作领域中的web应用程序。我对安全问题有合理的了解，但并不总是能了解最新的事态发展(主要是因为懒惰和缺乏时间)。我不做任何笔试，也不打算只专注于安全性，虽然我当然希望我的项目安全。

所以，从这个角度来看，对我来说做SANS培训值得吗?我特别指的是像DEV522或SEC542这样的培训课程吗？据我所知，他们是否有足够的理由花上一周的时间(当然还有钱:)？我参加了他们的免费评估测试，在没有任何准备的情况下获得了92%的成绩，而且在一半的时间内(我怀疑丢失的是一些不在我工作范围之外的缩略语)，但不确定这是否意味着什么。

特别令人感兴趣的是听到那些背景相似的人参加这些课程或类似的课程。

我知道这有点主观，但考虑到背景上的信息，我认为有很多类似背景的人可能会使用这些信息。我只想试着用一般的安全意识程序员的水平来评估课程的水平。

对于可疑的人:我和SANS没有任何关系，也不太了解他们，我只是在张贴链接，这样我们就可以清楚地知道他们在问什么。但我喜欢你的想法:)

Answer 1

我的主观观点是，这些特殊的课程对你来说不值得。

这些课程在$4,000+每门课程都很昂贵。它们是高度结构化和压缩在一个短的时间内。这些课程对于那些需要快速学习并在结构化、紧张、正式的环境中表现良好的人来说是完美的。

根据评估测试，你似乎知道一些很好的材料。你似乎并不着急，看起来你更感兴趣的是学习如何编写好的软件，而不是获得认证或编写安全文件。(我有安全证书，我喜欢看安全文件。)

在我看来，学习编写安全软件最好是编写软件，让同行检查它，测试它，发现漏洞，并修复漏洞。不要以为这一切都是为了你的雇主。关注OWASP、CERT.org或黑暗阅读的公告和新闻。为蜜罐项目做贡献。在security.stackexchange.com阅读和回答问题

为了课堂教学，收集、整理和格式化安全知识需要时间。虽然一些老师会把一些“最新的发展”扔到他们的课堂上，但大多数的课堂都会经过严格的安全知识审查。

我认为这些课程是有价值的，只是不适合你。

Answer 2

我上过SANS课程，如果你有合适的基础进入特定的课程，它们是非常棒的。

不值得你的个人钱的$4000+，但绝对值得竞选你的经理或公司支付。