{"course":{"productid":36417,"modality":1,"active":true,"language":"de","title":"Code responsibly with generative AI in Java","productcode":"CRWGAIJ","vendorcode":"CY","vendorname":"Cydrill","fullproductcode":"CY-CRWGAIJ","courseware":{"has_ekit":false,"has_printkit":true,"language":""},"url":"https:\/\/portal.flane.ch\/course\/cydrill-crwgaij","objective":"<ul>\n<li>Die Grundlagen der verantwortungsvollen KI verstehen<\/li><li>Vertrautmachen mit grundlegenden Konzepten der Cybersicherheit<\/li><li>Verstehen, wie Kryptographie die Sicherheit unterst&uuml;tzt<\/li><li>Lernen, wie man kryptografische APIs in Java richtig verwendet<\/li><li>Verst&auml;ndnis von Sicherheitsfragen bei Webanwendungen<\/li><li>Detaillierte Analyse der OWASP Top Ten Elemente<\/li><li>Die Sicherheit von Webanwendungen im Kontext von Java<\/li><li>&Uuml;ber die niedrig h&auml;ngenden Fr&uuml;chte hinausgehen<\/li><li>Verwaltung von Schwachstellen in Komponenten von Drittanbietern<\/li><li>All dies im Kontext von GitHub Copilot<\/li><\/ul>","essentials":"<p>OWASP, SEI CERT, CWE und Fortify Taxonomien<\/p>","audience":"<p>Java-Entwickler, die Copilot oder andere GenAI-Tools verwenden<\/p>","contents":"<h4>Tag 1\n<\/h4><h4>Verantwortungsbewusst kodieren mit GenAI<\/h4><ul>\n<li>Was ist verantwortungsvolle KI?<\/li><li>Was ist Sicherheit?<\/li><li>Bedrohung und Risiko<\/li><li>Arten von Cybersicherheitsbedrohungen - die CIA-Triade<\/li><li>Folgen von unsicherer Software<\/li><li>Sicherheit und verantwortungsvolle KI in der Softwareentwicklung<\/li><li>GenAI-Werkzeuge f&uuml;r die Kodierung: Copilot, Codeium und andere<\/li><li>Die OWASP Top Ten aus der Sicht von Copilot\n<ul>\n<li>Die OWASP Top Ten 2021\n<ul>\n<li>A01 - Defekte Zugangskontrolle\n<ul>\n<li>Grundlagen der Zugangskontrolle<\/li><li>Fallstudie - Fehlerhaftes authn\/authz in Apache OFBiz<\/li><li>Verwirrter Abgeordneter<\/li><li>Unsichere direkte Objektreferenz (IDOR)<\/li><li>Pfad&uuml;berquerung<\/li><li>&Uuml;bung - Unsichere direkte Objektreferenz<\/li><li>Bew&auml;hrte Verfahren zur Pfad&uuml;berquerung<\/li><li>&Uuml;bung - Experimentieren mit der Pfadverfolgung in Copilot<\/li><li>Berechtigungsumgehung durch benutzergesteuerte Schl&uuml;ssel<\/li><li>Fallbeispiel - Fern&uuml;bernahme von Nexx Garagentoren und Alarmanlagen<\/li><li>Labor - Horizontale Genehmigung (Erkundung mit Copilot)<\/li><li>Hochladen von Dateien\n<ul>\n<li>Uneingeschr&auml;nkter Datei-Upload<\/li><li>Bew&auml;hrte Praktiken<\/li><li>&Uuml;bung - Uneingeschr&auml;nkter Datei-Upload (Erkundung mit Copilot)<\/li><li>Fallstudie - Sicherheitsl&uuml;cke beim Hochladen von Dateien in Netflix Genie<\/li><\/ul><\/li><\/ul><\/li><li>A02 - Kryptographische Ausf&auml;lle\n<ul>\n<li>Kryptographie f&uuml;r Entwickler<\/li><li>Grundlagen der Kryptographie<\/li><li>Die kryptografische Java-Architektur (JCA) in K&uuml;rze<\/li><li>Elementare Algorithmen<\/li><li>Hashing\n<ul>\n<li>Grundlagen des Hashings<\/li><li>Hashing in Java<\/li><li>&Uuml;bung - Hashing in JCA (Erkundung mit Copilot)<\/li><\/ul><\/li><li>Erzeugung von Zufallszahlen\n<ul>\n<li>Pseudo-Zufallszahlengeneratoren (PRNGs)<\/li><li>Kryptografisch sichere PRNGs<\/li><li>Schwache und starke PRNGs in Java<\/li><li>&Uuml;bung - Verwendung von Zufallszahlen in Java (Erkundung mit Copilot)<\/li><li>Fallstudie - Equifax-Kontosperrung<\/li><\/ul><\/li><li>Schutz der Vertraulichkeit\n<ul>\n<li>Symmetrische Verschl&uuml;sselung\n<ul>\n<li>Blockchiffren<\/li><li>Betriebsarten<\/li><li>Betriebsarten und IV - bew&auml;hrte Verfahren<\/li><li>Symmetrische Verschl&uuml;sselung in Java<\/li><li>Symmetrische Verschl&uuml;sselung in Java mit Streams<\/li><li>&Uuml;bung - Symmetrische Verschl&uuml;sselung in JCA (Erkundung mit Copilot)<\/li><\/ul><\/li><li>Asymmetrische Verschl&uuml;sselung<\/li><li>Kombination von symmetrischen und asymmetrischen Algorithmen<\/li><li>Schl&uuml;sselaustausch und Vereinbarung\n<ul>\n<li>Austausch von Schl&uuml;sseln<\/li><li>Diffie-Hellman-Schl&uuml;sselvereinbarungsalgorithmus<\/li><li>Die wichtigsten Fallstricke beim Austausch und bew&auml;hrte Verfahren<\/li><\/ul><\/li><\/ul><\/li><\/ul><\/li><\/ul><\/li><\/ul><\/li><\/ul>\n<h4>Tag 2<\/h4><h4>Die OWASP Top Ten aus der Sicht von Copilot<\/h4><ul>\n<li>A03 - Injektion\n<ul>\n<li>Injektionsprinzipien<\/li><li>Injektionsangriffe\n<ul>\n<li>SQL-Einschleusung\n<ul>\n<li>Grundlagen der SQL-Injektion<\/li><li>&Uuml;bung - SQL-Injektion<\/li><li>Angriffsmethoden\n<ul>\n<li>Inhaltsbasierte blinde SQL-Injektion<\/li><li>Zeitbasierte blinde SQL-Injektion<\/li><\/ul><\/li><li>Bew&auml;hrte Praktiken zur SQL-Einschleusung<\/li><li>&Uuml;berpr&uuml;fung der Eingaben<\/li><li>Parametrisierte Abfragen<\/li><li>&Uuml;bung - Verwendung vorbereiteter Erkl&auml;rungen<\/li><li>&Uuml;bung - Experimentieren mit SQL-Injection in Copilot<\/li><li>Datenbankverteidigung in der Tiefe<\/li><li>Fallstudie - SQL-Injektion in Fortra FileCatalyst<\/li><\/ul><\/li><li>Code-Einspritzung\n<ul>\n<li>OS-Befehlsinjektion<\/li><li>Bew&auml;hrte Praktiken der OS-Befehlsinjektion<\/li><li>Verwendung von Runtime.exec()<\/li><li>Fallstudie - Shellshock<\/li><li>Labor - Shellshock<\/li><li>Fallstudie - Befehlsinjektion in VMware Aria<\/li><\/ul><\/li><li>HTML-Injektion - Cross-Site-Scripting (XSS)\n<ul>\n<li>Grundlagen des Cross-Site-Scripting<\/li><li>Cross-Site-Scripting-Typen\n<ul>\n<li>Anhaltendes Cross-Site-Scripting<\/li><li>Reflektiertes Cross-Site-Scripting<\/li><li>Client-seitiges (DOM-basiertes) Cross-Site-Scripting<\/li><\/ul><\/li><li>&Uuml;bung - Gespeicherte XSS<\/li><li>Labor - Reflektiertes XSS<\/li><li>Bew&auml;hrte Praktiken zum Schutz vor XSS<\/li><li>Schutzprinzipien - Flucht<\/li><li>XSS-Schutz-APIs in Java<\/li><li>Lab - XSS fix \/ gespeichert (Erkundung mit Copilot)<\/li><li>Labor - XSS-Behebung \/ reflektiert (Erkundung mit Copilot)<\/li><li>Zus&auml;tzliche Schutzschichten - Verteidigung in der Tiefe<\/li><li>Fallstudie - XSS-Schwachstellen in DrayTek Vigor-Routern<\/li><\/ul><\/li><\/ul><\/li><li>A04 - Unsicheres Design\n<ul>\n<li>Das STRIDE-Modell der Bedrohungen<\/li><li>Sichere Gestaltungsprinzipien von Saltzer und Schroeder\n<ul>\n<li>Wirtschaftlichkeit des Mechanismus<\/li><li>Ausfallsichere Voreinstellungen<\/li><li>Vollst&auml;ndige Mediation<\/li><li>Open design<\/li><li>Trennung der Privilegien<\/li><li>Geringstes Privileg<\/li><li>Am wenigsten verbreiteter Mechanismus<\/li><li>Psychologische Akzeptanz<\/li><\/ul><\/li><li>Client-seitige Sicherheit<\/li><li>Rahmen-Sandboxing<\/li><li>Cross-Frame-Scripting-Angriffe (XFS)<\/li><li>Labor - Clickjacking<\/li><li>Clickjacking geht &uuml;ber die Entf&uuml;hrung eines Klicks hinaus<\/li><li>Bew&auml;hrte Praktiken zum Schutz vor Clickjacking<\/li><li>&Uuml;bung - Verwendung von CSP zur Verhinderung von Clickjacking (Erkundung mit Copilot)<\/li><\/ul><\/li><li>A05 - Fehlkonfiguration der Sicherheit\n<ul>\n<li>Grunds&auml;tze der Konfiguration<\/li><li>XML-Entit&auml;ten\n<ul>\n<li>DTD und die Entit&auml;ten<\/li><li>Erweiterung der Entit&auml;t<\/li><li>Angriff auf externe Entit&auml;ten (XXE)<\/li><li>Einbeziehung von Dateien mit externen Stellen<\/li><li>Server-Side Request Forgery mit externen Entit&auml;ten<\/li><li>Labor - Angriff einer externen Einheit<\/li><li>Verhinderung von XXE<\/li><li>Labor - Verbot der DTD<\/li><li>Fallstudie - XXE-Schwachstelle in Ivanti-Produkten<\/li><li>Labor - Experimentieren mit XXE in Copilot<\/li><\/ul><\/li><\/ul>\n\n\n<h4>Tag 3<\/h4>\n\n<h4>Die OWASP Top Ten aus der Sicht von Copilot<\/h4>\n\n<ul>\n<li>A06 - Anf&auml;llige und veraltete Komponenten\n<ul>\n<li>Verwendung anf&auml;lliger Komponenten<\/li><li>Import von nicht vertrauensw&uuml;rdigen Funktionen<\/li><li>Fallstudie - Der Angriff auf die Lieferkette von Polyfill.io<\/li><li>Management von Schwachstellen<\/li><li>&Uuml;bung - Auffinden von Schwachstellen in Komponenten von Drittanbietern<\/li><li>Sicherheit von KI-generiertem Code<\/li><li>Praktische Angriffe auf Tools zur Codegenerierung<\/li><li>Abh&auml;ngigkeits-Halluzination durch generative KI<\/li><li>Fallstudie - Eine Geschichte der Schw&auml;chen von GitHub Copilot (bis Mitte 2024)<\/li><\/ul><\/li><li>A07 - Fehler bei der Identifizierung und Authentifizierung\n<ul>\n<li>Authentifizierung\n<ul>\n<li>Grundlagen der Authentifizierung<\/li><li>Multi-Faktor-Authentifizierung (MFA)<\/li><li>Fallstudie - Der InfinityGauntlet-Angriff<\/li><\/ul><\/li><li>Passwortverwaltung\n<ul>\n<li>Verwaltung eingehender Passw&ouml;rter<\/li><li>Speichern von Kontopassw&ouml;rtern<\/li><li>Labor - Reicht das Hashing von Passw&ouml;rtern aus?<\/li><li>W&ouml;rterbuchangriffe und Brute-Forcing<\/li><li>Salzen<\/li><li>Adaptive Hash-Funktionen f&uuml;r die Passwortspeicherung<\/li><li>&Uuml;bung - Verwendung adaptiver Hash-Funktionen in JCA<\/li><li>&Uuml;bung - Verwendung adaptiver Hash-Funktionen in Copilot<\/li><li>Passwort-Politik<\/li><li>NIST-Authentifikator-Anforderungen f&uuml;r gespeicherte Geheimnisse<\/li><\/ul><\/li><\/ul><\/li><li>A08 - Fehler in der Software und Datenintegrit&auml;t\n<ul>\n<li>Schutz der Integrit&auml;t\n<ul>\n<li>Nachrichten-Authentifizierungs-Code (MAC)<\/li><li>MAC-Berechnung in Java<\/li><li>&Uuml;bung - MAC-Berechnung in JCA<\/li><\/ul><\/li><li>Digitale Unterschrift\n<ul>\n<li>Elliptische Kurven Kryptographie<\/li><li>ECC-Grundlagen<\/li><li>Digitale Unterschrift mit ECC<\/li><li>Digitale Unterschrift in Java<\/li><li>&Uuml;bung - Digitale Signatur mit ECDSA in JCA<\/li><\/ul><\/li><li>Integrit&auml;t der Subressource\n<ul>\n<li>JavaScript importieren<\/li><li>&Uuml;bung - JavaScript importieren (mit Copilot erkunden)<\/li><li>Fallstudie - Die Datenschutzverletzung bei British Airways<\/li><\/ul><\/li><li>Unsichere Deserialisierung\n<ul>\n<li>Herausforderungen bei Serialisierung und Deserialisierung<\/li><li>Integrit&auml;t - Deserialisierung nicht vertrauensw&uuml;rdiger Datenstr&ouml;me<\/li><li>Integrit&auml;t - bew&auml;hrte Verfahren zur Deserialisierung<\/li><li>Vorausschauende Deserialisierung<\/li><li>Eigenschaftsorientiertes Programmieren (POP)<\/li><li>Erstellen einer POP-Nutzlast<\/li><li>&Uuml;bung - Erstellen einer POP-Nutzlast<\/li><li>&Uuml;bung - Verwendung der POP-Nutzlast<\/li><li>Fallstudie - Deserialisierungs-RCEs in NextGen Mirth Connect<\/li><\/ul><\/li><\/ul><\/li><li>A09 - Fehler bei der Sicherheitsprotokollierung und -&uuml;berwachung\n<ul>\n<li>Grunds&auml;tze der Protokollierung und &Uuml;berwachung<\/li><li>Rundholz f&auml;lschen<\/li><li>Protokollf&auml;lschung - bew&auml;hrte Verfahren<\/li><li>Fallstudie - Log-Interpolation in log4j<\/li><li>Fallstudie - Die Log4Shell-Schwachstelle (CVE-2021-44228)<\/li><li>Fallstudie - Log4Shell-Folgemassnahmen (CVE-2021-45046, CVE-2021-45105)<\/li><li>&Uuml;bung - Log4Shell<\/li><\/ul><\/li><li>A10 - Server-seitige Anforderungsf&auml;lschung (SSRF)\n<ul>\n<li>Server-seitige Anforderungsf&auml;lschung (SSRF)<\/li><li>Fallbeispiel - SSRF in Ivanti Connect Secure<\/li><\/ul><\/li><li>Einpacken\n<ul>\n<li>Grunds&auml;tze der sicheren Kodierung<\/li><li>Grunds&auml;tze der robusten Programmierung von Matt Bishop<\/li><li>Und was nun?<\/li><li>Quellen zur Softwaresicherheit und weiterf&uuml;hrende Literatur<\/li><li>Java-Ressourcen<\/li><li>Verantwortungsvolle KI-Prinzipien in der Softwareentwicklung<\/li><li>Generative AI - Ressourcen und zus&auml;tzliche Anleitungen<\/li><\/ul><\/li><\/ul><\/li><\/ul><\/li><\/ul>","outline":"<p>Verantwortungsbewusst kodieren mit GenAI\nDie OWASP Top Ten aus der Sicht von Copilot\nEinpacken<\/p>","comments":"<p><em>Dieser Text wurde automatisiert &uuml;bersetzt. Um den englischen Originaltext anzuzeigen, klicken Sie bitte <span class=\"cms-link-marked\"><a class=\"fl-href-prod\" href=\"\/swisscom\/en\/course\/cydrill-crwgaij\"><svg role=\"img\" aria-hidden=\"true\" focusable=\"false\" data-nosnippet class=\"cms-linkmark\"><use xlink:href=\"\/css\/img\/icnset-linkmarks.svg#linkmark\"><\/use><\/svg>hier<\/a><\/span>.<\/em><\/p>","summary":"<p>Generative KI ver&auml;ndert die Softwarebranche. Mit Tools wie GitHub Copilot und Codeium k&ouml;nnen Entwickler ein noch nie dagewesenes Mass an Effizienz erreichen. Dies ist ein aufregender Fortschritt, der aber auch wichtige Bedenken aufwirft und die Beteiligten dazu ermutigt, diese Technologien mit Vorsicht zu geniessen. Den aktuellen KI-Tools mangelt es oft an einem nuancierten Verst&auml;ndnis, das notwendig ist, um subtile, aber kritische Aspekte der Softwareentwicklung anzugehen, insbesondere im Bereich der Sicherheit.<\/p>\n<p>Dieser Kurs bietet einen umfassenden Einblick in den verantwortungsvollen Einsatz von generativer KI in der Programmierung. Die Teilnehmer befassen sich mit Themen der Softwareentwicklung, die am ehesten durch den unvorsichtigen Einsatz von generativer KI beeintr&auml;chtigt werden k&ouml;nnen, darunter Authentifizierung, Autorisierung und Kryptografie. Der Lehrplan umfasst auch eine Analyse der Art und Weise, wie KI-Tools wie Copilot sichere Kodierungspraktiken im Zusammenhang mit den wichtigsten Schwachstellen der OWASP Top Ten, wie z. B. Path Traversal, SQL Injection oder Cross-Site Scripting, handhaben.<\/p>\n<p>Durch praktisches Lernen und Experimentieren erhalten die Teilnehmer ein solides Verst&auml;ndnis sowohl f&uuml;r die St&auml;rken als auch f&uuml;r die Grenzen der KI-gest&uuml;tzten Entwicklung. Dar&uuml;ber hinaus zeigen Fallstudien zu realen Vorf&auml;llen die Folgen von unsicherem Code und verdeutlichen die doppelte Natur der generativen KI als Ressource und potenzielles Risiko.<\/p>\n<p>Am Ende des Kurses werden die Entwickler mit dem Wissen und den F&auml;higkeiten ausgestattet sein, KI-Tools verantwortungsvoll in den Lebenszyklus der Softwareentwicklung zu integrieren und die Effizienz zu steigern, ohne die Sicherheit oder die Produktqualit&auml;t zu beeintr&auml;chtigen.<\/p>","objective_plain":"- Die Grundlagen der verantwortungsvollen KI verstehen\n- Vertrautmachen mit grundlegenden Konzepten der Cybersicherheit\n- Verstehen, wie Kryptographie die Sicherheit unterst\u00fctzt\n- Lernen, wie man kryptografische APIs in Java richtig verwendet\n- Verst\u00e4ndnis von Sicherheitsfragen bei Webanwendungen\n- Detaillierte Analyse der OWASP Top Ten Elemente\n- Die Sicherheit von Webanwendungen im Kontext von Java\n- \u00dcber die niedrig h\u00e4ngenden Fr\u00fcchte hinausgehen\n- Verwaltung von Schwachstellen in Komponenten von Drittanbietern\n- All dies im Kontext von GitHub Copilot","essentials_plain":"OWASP, SEI CERT, CWE und Fortify Taxonomien","audience_plain":"Java-Entwickler, die Copilot oder andere GenAI-Tools verwenden","contents_plain":"Tag 1\n\n\nVerantwortungsbewusst kodieren mit GenAI\n\n\n- Was ist verantwortungsvolle KI?\n- Was ist Sicherheit?\n- Bedrohung und Risiko\n- Arten von Cybersicherheitsbedrohungen - die CIA-Triade\n- Folgen von unsicherer Software\n- Sicherheit und verantwortungsvolle KI in der Softwareentwicklung\n- GenAI-Werkzeuge f\u00fcr die Kodierung: Copilot, Codeium und andere\n- Die OWASP Top Ten aus der Sicht von Copilot\n\n- Die OWASP Top Ten 2021\n\n- A01 - Defekte Zugangskontrolle\n\n- Grundlagen der Zugangskontrolle\n- Fallstudie - Fehlerhaftes authn\/authz in Apache OFBiz\n- Verwirrter Abgeordneter\n- Unsichere direkte Objektreferenz (IDOR)\n- Pfad\u00fcberquerung\n- \u00dcbung - Unsichere direkte Objektreferenz\n- Bew\u00e4hrte Verfahren zur Pfad\u00fcberquerung\n- \u00dcbung - Experimentieren mit der Pfadverfolgung in Copilot\n- Berechtigungsumgehung durch benutzergesteuerte Schl\u00fcssel\n- Fallbeispiel - Fern\u00fcbernahme von Nexx Garagentoren und Alarmanlagen\n- Labor - Horizontale Genehmigung (Erkundung mit Copilot)\n- Hochladen von Dateien\n\n- Uneingeschr\u00e4nkter Datei-Upload\n- Bew\u00e4hrte Praktiken\n- \u00dcbung - Uneingeschr\u00e4nkter Datei-Upload (Erkundung mit Copilot)\n- Fallstudie - Sicherheitsl\u00fccke beim Hochladen von Dateien in Netflix Genie\n- A02 - Kryptographische Ausf\u00e4lle\n\n- Kryptographie f\u00fcr Entwickler\n- Grundlagen der Kryptographie\n- Die kryptografische Java-Architektur (JCA) in K\u00fcrze\n- Elementare Algorithmen\n- Hashing\n\n- Grundlagen des Hashings\n- Hashing in Java\n- \u00dcbung - Hashing in JCA (Erkundung mit Copilot)\n- Erzeugung von Zufallszahlen\n\n- Pseudo-Zufallszahlengeneratoren (PRNGs)\n- Kryptografisch sichere PRNGs\n- Schwache und starke PRNGs in Java\n- \u00dcbung - Verwendung von Zufallszahlen in Java (Erkundung mit Copilot)\n- Fallstudie - Equifax-Kontosperrung\n- Schutz der Vertraulichkeit\n\n- Symmetrische Verschl\u00fcsselung\n\n- Blockchiffren\n- Betriebsarten\n- Betriebsarten und IV - bew\u00e4hrte Verfahren\n- Symmetrische Verschl\u00fcsselung in Java\n- Symmetrische Verschl\u00fcsselung in Java mit Streams\n- \u00dcbung - Symmetrische Verschl\u00fcsselung in JCA (Erkundung mit Copilot)\n- Asymmetrische Verschl\u00fcsselung\n- Kombination von symmetrischen und asymmetrischen Algorithmen\n- Schl\u00fcsselaustausch und Vereinbarung\n\n- Austausch von Schl\u00fcsseln\n- Diffie-Hellman-Schl\u00fcsselvereinbarungsalgorithmus\n- Die wichtigsten Fallstricke beim Austausch und bew\u00e4hrte Verfahren\n\nTag 2\n\nDie OWASP Top Ten aus der Sicht von Copilot\n\n\n- A03 - Injektion\n\n- Injektionsprinzipien\n- Injektionsangriffe\n\n- SQL-Einschleusung\n\n- Grundlagen der SQL-Injektion\n- \u00dcbung - SQL-Injektion\n- Angriffsmethoden\n\n- Inhaltsbasierte blinde SQL-Injektion\n- Zeitbasierte blinde SQL-Injektion\n- Bew\u00e4hrte Praktiken zur SQL-Einschleusung\n- \u00dcberpr\u00fcfung der Eingaben\n- Parametrisierte Abfragen\n- \u00dcbung - Verwendung vorbereiteter Erkl\u00e4rungen\n- \u00dcbung - Experimentieren mit SQL-Injection in Copilot\n- Datenbankverteidigung in der Tiefe\n- Fallstudie - SQL-Injektion in Fortra FileCatalyst\n- Code-Einspritzung\n\n- OS-Befehlsinjektion\n- Bew\u00e4hrte Praktiken der OS-Befehlsinjektion\n- Verwendung von Runtime.exec()\n- Fallstudie - Shellshock\n- Labor - Shellshock\n- Fallstudie - Befehlsinjektion in VMware Aria\n- HTML-Injektion - Cross-Site-Scripting (XSS)\n\n- Grundlagen des Cross-Site-Scripting\n- Cross-Site-Scripting-Typen\n\n- Anhaltendes Cross-Site-Scripting\n- Reflektiertes Cross-Site-Scripting\n- Client-seitiges (DOM-basiertes) Cross-Site-Scripting\n- \u00dcbung - Gespeicherte XSS\n- Labor - Reflektiertes XSS\n- Bew\u00e4hrte Praktiken zum Schutz vor XSS\n- Schutzprinzipien - Flucht\n- XSS-Schutz-APIs in Java\n- Lab - XSS fix \/ gespeichert (Erkundung mit Copilot)\n- Labor - XSS-Behebung \/ reflektiert (Erkundung mit Copilot)\n- Zus\u00e4tzliche Schutzschichten - Verteidigung in der Tiefe\n- Fallstudie - XSS-Schwachstellen in DrayTek Vigor-Routern\n- A04 - Unsicheres Design\n\n- Das STRIDE-Modell der Bedrohungen\n- Sichere Gestaltungsprinzipien von Saltzer und Schroeder\n\n- Wirtschaftlichkeit des Mechanismus\n- Ausfallsichere Voreinstellungen\n- Vollst\u00e4ndige Mediation\n- Open design\n- Trennung der Privilegien\n- Geringstes Privileg\n- Am wenigsten verbreiteter Mechanismus\n- Psychologische Akzeptanz\n- Client-seitige Sicherheit\n- Rahmen-Sandboxing\n- Cross-Frame-Scripting-Angriffe (XFS)\n- Labor - Clickjacking\n- Clickjacking geht \u00fcber die Entf\u00fchrung eines Klicks hinaus\n- Bew\u00e4hrte Praktiken zum Schutz vor Clickjacking\n- \u00dcbung - Verwendung von CSP zur Verhinderung von Clickjacking (Erkundung mit Copilot)\n- A05 - Fehlkonfiguration der Sicherheit\n\n- Grunds\u00e4tze der Konfiguration\n- XML-Entit\u00e4ten\n\n- DTD und die Entit\u00e4ten\n- Erweiterung der Entit\u00e4t\n- Angriff auf externe Entit\u00e4ten (XXE)\n- Einbeziehung von Dateien mit externen Stellen\n- Server-Side Request Forgery mit externen Entit\u00e4ten\n- Labor - Angriff einer externen Einheit\n- Verhinderung von XXE\n- Labor - Verbot der DTD\n- Fallstudie - XXE-Schwachstelle in Ivanti-Produkten\n- Labor - Experimentieren mit XXE in Copilot\n\n\n\nTag 3\n\n\n\nDie OWASP Top Ten aus der Sicht von Copilot\n\n\n\n\n- A06 - Anf\u00e4llige und veraltete Komponenten\n\n- Verwendung anf\u00e4lliger Komponenten\n- Import von nicht vertrauensw\u00fcrdigen Funktionen\n- Fallstudie - Der Angriff auf die Lieferkette von Polyfill.io\n- Management von Schwachstellen\n- \u00dcbung - Auffinden von Schwachstellen in Komponenten von Drittanbietern\n- Sicherheit von KI-generiertem Code\n- Praktische Angriffe auf Tools zur Codegenerierung\n- Abh\u00e4ngigkeits-Halluzination durch generative KI\n- Fallstudie - Eine Geschichte der Schw\u00e4chen von GitHub Copilot (bis Mitte 2024)\n- A07 - Fehler bei der Identifizierung und Authentifizierung\n\n- Authentifizierung\n\n- Grundlagen der Authentifizierung\n- Multi-Faktor-Authentifizierung (MFA)\n- Fallstudie - Der InfinityGauntlet-Angriff\n- Passwortverwaltung\n\n- Verwaltung eingehender Passw\u00f6rter\n- Speichern von Kontopassw\u00f6rtern\n- Labor - Reicht das Hashing von Passw\u00f6rtern aus?\n- W\u00f6rterbuchangriffe und Brute-Forcing\n- Salzen\n- Adaptive Hash-Funktionen f\u00fcr die Passwortspeicherung\n- \u00dcbung - Verwendung adaptiver Hash-Funktionen in JCA\n- \u00dcbung - Verwendung adaptiver Hash-Funktionen in Copilot\n- Passwort-Politik\n- NIST-Authentifikator-Anforderungen f\u00fcr gespeicherte Geheimnisse\n- A08 - Fehler in der Software und Datenintegrit\u00e4t\n\n- Schutz der Integrit\u00e4t\n\n- Nachrichten-Authentifizierungs-Code (MAC)\n- MAC-Berechnung in Java\n- \u00dcbung - MAC-Berechnung in JCA\n- Digitale Unterschrift\n\n- Elliptische Kurven Kryptographie\n- ECC-Grundlagen\n- Digitale Unterschrift mit ECC\n- Digitale Unterschrift in Java\n- \u00dcbung - Digitale Signatur mit ECDSA in JCA\n- Integrit\u00e4t der Subressource\n\n- JavaScript importieren\n- \u00dcbung - JavaScript importieren (mit Copilot erkunden)\n- Fallstudie - Die Datenschutzverletzung bei British Airways\n- Unsichere Deserialisierung\n\n- Herausforderungen bei Serialisierung und Deserialisierung\n- Integrit\u00e4t - Deserialisierung nicht vertrauensw\u00fcrdiger Datenstr\u00f6me\n- Integrit\u00e4t - bew\u00e4hrte Verfahren zur Deserialisierung\n- Vorausschauende Deserialisierung\n- Eigenschaftsorientiertes Programmieren (POP)\n- Erstellen einer POP-Nutzlast\n- \u00dcbung - Erstellen einer POP-Nutzlast\n- \u00dcbung - Verwendung der POP-Nutzlast\n- Fallstudie - Deserialisierungs-RCEs in NextGen Mirth Connect\n- A09 - Fehler bei der Sicherheitsprotokollierung und -\u00fcberwachung\n\n- Grunds\u00e4tze der Protokollierung und \u00dcberwachung\n- Rundholz f\u00e4lschen\n- Protokollf\u00e4lschung - bew\u00e4hrte Verfahren\n- Fallstudie - Log-Interpolation in log4j\n- Fallstudie - Die Log4Shell-Schwachstelle (CVE-2021-44228)\n- Fallstudie - Log4Shell-Folgemassnahmen (CVE-2021-45046, CVE-2021-45105)\n- \u00dcbung - Log4Shell\n- A10 - Server-seitige Anforderungsf\u00e4lschung (SSRF)\n\n- Server-seitige Anforderungsf\u00e4lschung (SSRF)\n- Fallbeispiel - SSRF in Ivanti Connect Secure\n- Einpacken\n\n- Grunds\u00e4tze der sicheren Kodierung\n- Grunds\u00e4tze der robusten Programmierung von Matt Bishop\n- Und was nun?\n- Quellen zur Softwaresicherheit und weiterf\u00fchrende Literatur\n- Java-Ressourcen\n- Verantwortungsvolle KI-Prinzipien in der Softwareentwicklung\n- Generative AI - Ressourcen und zus\u00e4tzliche Anleitungen","outline_plain":"Verantwortungsbewusst kodieren mit GenAI\nDie OWASP Top Ten aus der Sicht von Copilot\nEinpacken","comments_plain":"Dieser Text wurde automatisiert \u00fcbersetzt. Um den englischen Originaltext anzuzeigen, klicken Sie bitte hier.","summary_plain":"Generative KI ver\u00e4ndert die Softwarebranche. Mit Tools wie GitHub Copilot und Codeium k\u00f6nnen Entwickler ein noch nie dagewesenes Mass an Effizienz erreichen. Dies ist ein aufregender Fortschritt, der aber auch wichtige Bedenken aufwirft und die Beteiligten dazu ermutigt, diese Technologien mit Vorsicht zu geniessen. Den aktuellen KI-Tools mangelt es oft an einem nuancierten Verst\u00e4ndnis, das notwendig ist, um subtile, aber kritische Aspekte der Softwareentwicklung anzugehen, insbesondere im Bereich der Sicherheit.\n\nDieser Kurs bietet einen umfassenden Einblick in den verantwortungsvollen Einsatz von generativer KI in der Programmierung. Die Teilnehmer befassen sich mit Themen der Softwareentwicklung, die am ehesten durch den unvorsichtigen Einsatz von generativer KI beeintr\u00e4chtigt werden k\u00f6nnen, darunter Authentifizierung, Autorisierung und Kryptografie. Der Lehrplan umfasst auch eine Analyse der Art und Weise, wie KI-Tools wie Copilot sichere Kodierungspraktiken im Zusammenhang mit den wichtigsten Schwachstellen der OWASP Top Ten, wie z. B. Path Traversal, SQL Injection oder Cross-Site Scripting, handhaben.\n\nDurch praktisches Lernen und Experimentieren erhalten die Teilnehmer ein solides Verst\u00e4ndnis sowohl f\u00fcr die St\u00e4rken als auch f\u00fcr die Grenzen der KI-gest\u00fctzten Entwicklung. Dar\u00fcber hinaus zeigen Fallstudien zu realen Vorf\u00e4llen die Folgen von unsicherem Code und verdeutlichen die doppelte Natur der generativen KI als Ressource und potenzielles Risiko.\n\nAm Ende des Kurses werden die Entwickler mit dem Wissen und den F\u00e4higkeiten ausgestattet sein, KI-Tools verantwortungsvoll in den Lebenszyklus der Softwareentwicklung zu integrieren und die Effizienz zu steigern, ohne die Sicherheit oder die Produktqualit\u00e4t zu beeintr\u00e4chtigen.","version":"1.0","duration":{"unit":"d","value":3,"formatted":"3 Tage"},"pricelist":{"List Price":{"DE":{"country":"DE","currency":"EUR","taxrate":19,"price":2250},"SI":{"country":"SI","currency":"EUR","taxrate":20,"price":2250},"AT":{"country":"AT","currency":"EUR","taxrate":20,"price":2250},"SE":{"country":"SE","currency":"EUR","taxrate":25,"price":2250},"CH":{"country":"CH","currency":"CHF","taxrate":8.1,"price":2250}}},"lastchanged":"2025-10-29T08:38:39+01:00","parenturl":"https:\/\/portal.flane.ch\/swisscom\/json-courses","nexturl_course_schedule":"https:\/\/portal.flane.ch\/swisscom\/json-course-schedule\/36417","source_lang":"de","source":"https:\/\/portal.flane.ch\/swisscom\/json-course\/cydrill-crwgaij"}}