Code responsibly with generative AI in C++CRWGAIC++CYCydrillCY-CRWGAIC++1.0<ul>
<li>Das Wesentliche der verantwortungsvollen KI verstehen</li><li>Vertrautmachen mit grundlegenden Konzepten der Cybersicherheit</li><li>Korrekte Implementierung verschiedener Sicherheitsmerkmale</li><li>Ermittlung von Schwachstellen und deren Folgen</li><li>Lernen Sie die besten Sicherheitspraktiken in C++</li><li>Verwaltung von Schwachstellen in Komponenten von Drittanbietern</li><li>Ansätze und Grundsätze der Eingabevalidierung</li><li>All dies im Kontext von GitHub Copilot</li></ul><h4>Einpacken</h4><ul>
<li>Grundsätze der sicheren Kodierung
<ul>
<li>Grundsätze der robusten Programmierung von Matt Bishop</li><li>Sichere Gestaltungsprinzipien von Saltzer und Schroeder</li></ul></li><li>Und was nun?</li><li>Quellen zur Softwaresicherheit und weiterführende Literatur
<ul>
<li>C- und C++-Ressourcen</li><li>Verantwortungsvolle KI-Prinzipien in der Softwareentwicklung</li><li>Generative AI - Ressourcen und zusätzliche Anleitungen</li></ul></li></ul><p>Allgemeine C++- und C-Entwicklung</p><p>C/C++-Entwickler, die Copilot oder andere GenAI-Tools verwenden</p><h4>Tag 1</h4>
<h4>Verantwortungsbewusst kodieren mit GenAI</h4><ul>
<li>Was ist verantwortungsvolle KI?</li><li>Was ist Sicherheit?</li><li>Bedrohung und Risiko</li><li>Arten von Cybersicherheitsbedrohungen - die CIA-Triade</li><li>Arten von Cybersicherheitsbedrohungen - das STRIDE-Modell</li><li>Folgen von unsicherer Software</li><li>Sicherheit und verantwortungsvolle KI in der Softwareentwicklung</li><li>GenAI-Werkzeuge für die Kodierung: Copilot, Codeium und andere</li></ul>
<h4>Schwachstellen in der Speicherverwaltung</h4><ul>
<li>Montagegrundlagen und Aufrufkonventionen
<ul>
<li>x64 assembly essentials</li><li>Register und Adressierung</li><li>Häufigste Anweisungen</li><li>Aufruf von Konventionen auf x64</li><li>Einberufung von Kongressen - was es damit auf sich hat</li><li>Aufrufkonvention auf x64</li></ul></li><li>Der Stapelrahmen</li><li>Gestapelte Funktionsaufrufe</li><li>Pufferüberlauf
<ul>
<li>Speicherverwaltung und Sicherheit</li><li>Puffersicherheitsprobleme</li><li>Pufferüberlauf auf dem Stack</li><li>Pufferüberlauf auf dem Stack - Stack Smashing</li><li>Ausbeutung - Entführung des Kontrollflusses</li><li>Übung - Pufferüberlauf 101, Wiederverwendung von Code</li><li>Ausnutzung - Willkürliche Codeausführung</li><li>Einschleusen von Shellcode</li><li>Übung - Code-Injektion, Ausbeutung mit Shellcode</li><li>Fallstudie - Stack BOF in FriendlyName Handhabung des Wemo Smart Plug</li></ul></li><li>Zeiger-Manipulation
<ul>
<li>Modifikation von Sprungtabellen</li><li>Überschreiben von Funktionszeigern</li><li>Bewährte Verfahren und einige typische Fehler</li></ul></li><li>Unsichere Funktionen
<ul>
<li>Umgang mit unsicheren Funktionen</li><li>Übung - Behebung eines Pufferüberlaufs (Erkundung mit Copilot)</li></ul></li><li>Verwendung von std::string in C++
<ul>
<li>Manipulation von C-ähnlichen Zeichenketten in C++</li><li>Bösartige Beendigung von Zeichenketten</li><li>Labor - Verwirrung bei der Terminierung von Zeichenketten (Erkundung mit Copilot)</li><li>Fehler bei der Berechnung der Stringlänge</li></ul></li></ul><h4>Tag 2</h4><h4>Härtung der Speicherverwaltung</h4><ul>
<li>Absicherung der Toolchain
<ul>
<li>Absicherung der Toolchain in C++</li><li>Verwendung von FORTIFY_SOURCE</li><li>Labor - Auswirkungen von FORTIFY</li></ul></li><li>Adress-Sanitizer (ASan)
<ul>
<li>AddressSanitizer (ASan) verwenden</li><li>Übung - AddressSanitizer verwenden</li></ul></li><li>Schutz vor Stapelzerschlagung
<ul>
<li>Erkennung von BoF mit einem Stack Canary</li><li>Klonen von Argumenten</li><li>Schutz vor Stapelzerstörung auf verschiedenen Plattformen</li><li>SSP-Änderungen des Prologs und Epilogs</li><li>Labor - Auswirkungen des Stapelzerstörungsschutzes</li></ul></li><li>Laufzeit-Schutzmassnahmen
<ul>
<li>Laufzeit-Instrumentierung</li><li>Adressraum-Layout-Randomisierung (ASLR)
<ul>
<li>ASLR auf verschiedenen Plattformen</li><li>Labor - Auswirkungen von ASLR</li><li>Umgehung von ASLR - NOP-Schlitten</li><li>Umgehung von ASLR - Speicherlecks</li></ul></li></ul></li><li>Nicht ausführbare Speicherbereiche
<ul>
<li>Das NX-Bit</li><li>Schreiben XOR Ausführen (W^X)</li><li>NX auf verschiedenen Plattformen</li><li>Labor - Auswirkungen von NX</li><li>NX-Umgehung - Angriffe durch Wiederverwendung von Code</li><li>Return-to-libc / Bogeninjektion</li><li>Rückgabeorientierte Programmierung (ROP)</li><li>Schutz vor ROP</li></ul></li><li>Fallstudie - Systematische Ausnutzung eines MediaTek-Pufferüberlaufs</li></ul><h4>Tag 3</h4><h4>Häufige Sicherheitslücken in Software</h4><ul>
<li>Sicherheitsmerkmale
<ul>
<li>Authentifizierung</li><li>Passwortverwaltung
<ul>
<li>Verwaltung eingehender Passwörter</li><li>Speichern von Kontopasswörtern</li><li>Passwort im Transit</li><li>Labor - Reicht das Hashing von Passwörtern aus?</li><li>Wörterbuchangriffe und Brute-Forcing</li><li>Salzen</li><li>Adaptive Hash-Funktionen für die Passwortspeicherung</li><li>Passwort-Politik</li><li>NIST-Authentifikator-Anforderungen für gespeicherte Geheimnisse</li><li>Migration der Passwort-Datenbank</li></ul></li></ul></li><li>Code quality
<ul>
<li>Codequalität und Sicherheit</li></ul></li><li>Umgang mit Daten
<ul>
<li>Typ-Fehlanpassung</li><li>Labor - Typeninkongruenz (Erkundung mit Copilot)</li><li>Initialisierung und Bereinigung
<ul>
<li>Konstrukteure und Destrukteure</li><li>Initialisierung von statischen Objekten</li><li>Übung - Initialisierungszyklen (Erkundung mit Copilot)</li></ul></li><li>Unveröffentlichte Ressource</li><li>Array-Verfügung in C++</li><li>Übung - Mischen von delete und delete[] (Erkundung mit Copilot)</li></ul></li><li>Fallstricke der objektorientierten Programmierung
<ul>
<li>Zugänglichkeitsmodifikatoren</li><li>Sind Zugänglichkeitsmodifikatoren ein Sicherheitsmerkmal?</li><li>Vererbung und Objektaufteilung</li><li>Implementierung des Kopieroperators</li><li>Der Kopieroperator und die Veränderbarkeit</li><li>Veränderlichkeit</li><li>Objekte mit veränderlicher Prädikatsfunktion</li><li>Lab - Objekt mit veränderlicher Prädikatsfunktion</li></ul></li></ul>
<h4>Verwendung anfälliger Komponenten</h4><ul>
<li>Sicherheit von KI-generiertem Code</li><li>Praktische Angriffe auf Tools zur Codegenerierung</li><li>Abhängigkeits-Halluzination durch generative KI</li><li>Fallstudie - Eine Geschichte der Schwächen von GitHub Copilot (bis Mitte 2024)</li></ul><p>
[/list]</p><ul>
<li>Verantwortungsbewusst kodieren mit GenAI</li><li>Schwachstellen in der Speicherverwaltung</li><li>Härtung der Speicherverwaltung</li><li>Häufige Sicherheitslücken in Software</li><li>Verwendung anfälliger Komponenten</li><li>Einpacken</li></ul><p><em>Dieser Text wurde automatisiert übersetzt. Um den englischen Originaltext anzuzeigen, klicken Sie bitte <span class="cms-link-marked"><a class="fl-href-prod" href="/swisscom/en/course/36438"><svg role="img" aria-hidden="true" focusable="false" data-nosnippet class="cms-linkmark"><use xlink:href="/css/img/icnset-linkmarks.svg#linkmark"></use></svg>hier</a></span>.</em></p>- Das Wesentliche der verantwortungsvollen KI verstehen
- Vertrautmachen mit grundlegenden Konzepten der Cybersicherheit
- Korrekte Implementierung verschiedener Sicherheitsmerkmale
- Ermittlung von Schwachstellen und deren Folgen
- Lernen Sie die besten Sicherheitspraktiken in C++
- Verwaltung von Schwachstellen in Komponenten von Drittanbietern
- Ansätze und Grundsätze der Eingabevalidierung
- All dies im Kontext von GitHub Copilot
Einpacken
- Grundsätze der sicheren Kodierung
- Grundsätze der robusten Programmierung von Matt Bishop
- Sichere Gestaltungsprinzipien von Saltzer und Schroeder
- Und was nun?
- Quellen zur Softwaresicherheit und weiterführende Literatur
- C- und C++-Ressourcen
- Verantwortungsvolle KI-Prinzipien in der Softwareentwicklung
- Generative AI - Ressourcen und zusätzliche AnleitungenAllgemeine C++- und C-EntwicklungC/C++-Entwickler, die Copilot oder andere GenAI-Tools verwendenTag 1
Verantwortungsbewusst kodieren mit GenAI
- Was ist verantwortungsvolle KI?
- Was ist Sicherheit?
- Bedrohung und Risiko
- Arten von Cybersicherheitsbedrohungen - die CIA-Triade
- Arten von Cybersicherheitsbedrohungen - das STRIDE-Modell
- Folgen von unsicherer Software
- Sicherheit und verantwortungsvolle KI in der Softwareentwicklung
- GenAI-Werkzeuge für die Kodierung: Copilot, Codeium und andere
Schwachstellen in der Speicherverwaltung
- Montagegrundlagen und Aufrufkonventionen
- x64 assembly essentials
- Register und Adressierung
- Häufigste Anweisungen
- Aufruf von Konventionen auf x64
- Einberufung von Kongressen - was es damit auf sich hat
- Aufrufkonvention auf x64
- Der Stapelrahmen
- Gestapelte Funktionsaufrufe
- Pufferüberlauf
- Speicherverwaltung und Sicherheit
- Puffersicherheitsprobleme
- Pufferüberlauf auf dem Stack
- Pufferüberlauf auf dem Stack - Stack Smashing
- Ausbeutung - Entführung des Kontrollflusses
- Übung - Pufferüberlauf 101, Wiederverwendung von Code
- Ausnutzung - Willkürliche Codeausführung
- Einschleusen von Shellcode
- Übung - Code-Injektion, Ausbeutung mit Shellcode
- Fallstudie - Stack BOF in FriendlyName Handhabung des Wemo Smart Plug
- Zeiger-Manipulation
- Modifikation von Sprungtabellen
- Überschreiben von Funktionszeigern
- Bewährte Verfahren und einige typische Fehler
- Unsichere Funktionen
- Umgang mit unsicheren Funktionen
- Übung - Behebung eines Pufferüberlaufs (Erkundung mit Copilot)
- Verwendung von std::string in C++
- Manipulation von C-ähnlichen Zeichenketten in C++
- Bösartige Beendigung von Zeichenketten
- Labor - Verwirrung bei der Terminierung von Zeichenketten (Erkundung mit Copilot)
- Fehler bei der Berechnung der Stringlänge
Tag 2
Härtung der Speicherverwaltung
- Absicherung der Toolchain
- Absicherung der Toolchain in C++
- Verwendung von FORTIFY_SOURCE
- Labor - Auswirkungen von FORTIFY
- Adress-Sanitizer (ASan)
- AddressSanitizer (ASan) verwenden
- Übung - AddressSanitizer verwenden
- Schutz vor Stapelzerschlagung
- Erkennung von BoF mit einem Stack Canary
- Klonen von Argumenten
- Schutz vor Stapelzerstörung auf verschiedenen Plattformen
- SSP-Änderungen des Prologs und Epilogs
- Labor - Auswirkungen des Stapelzerstörungsschutzes
- Laufzeit-Schutzmassnahmen
- Laufzeit-Instrumentierung
- Adressraum-Layout-Randomisierung (ASLR)
- ASLR auf verschiedenen Plattformen
- Labor - Auswirkungen von ASLR
- Umgehung von ASLR - NOP-Schlitten
- Umgehung von ASLR - Speicherlecks
- Nicht ausführbare Speicherbereiche
- Das NX-Bit
- Schreiben XOR Ausführen (W^X)
- NX auf verschiedenen Plattformen
- Labor - Auswirkungen von NX
- NX-Umgehung - Angriffe durch Wiederverwendung von Code
- Return-to-libc / Bogeninjektion
- Rückgabeorientierte Programmierung (ROP)
- Schutz vor ROP
- Fallstudie - Systematische Ausnutzung eines MediaTek-Pufferüberlaufs
Tag 3
Häufige Sicherheitslücken in Software
- Sicherheitsmerkmale
- Authentifizierung
- Passwortverwaltung
- Verwaltung eingehender Passwörter
- Speichern von Kontopasswörtern
- Passwort im Transit
- Labor - Reicht das Hashing von Passwörtern aus?
- Wörterbuchangriffe und Brute-Forcing
- Salzen
- Adaptive Hash-Funktionen für die Passwortspeicherung
- Passwort-Politik
- NIST-Authentifikator-Anforderungen für gespeicherte Geheimnisse
- Migration der Passwort-Datenbank
- Code quality
- Codequalität und Sicherheit
- Umgang mit Daten
- Typ-Fehlanpassung
- Labor - Typeninkongruenz (Erkundung mit Copilot)
- Initialisierung und Bereinigung
- Konstrukteure und Destrukteure
- Initialisierung von statischen Objekten
- Übung - Initialisierungszyklen (Erkundung mit Copilot)
- Unveröffentlichte Ressource
- Array-Verfügung in C++
- Übung - Mischen von delete und delete[] (Erkundung mit Copilot)
- Fallstricke der objektorientierten Programmierung
- Zugänglichkeitsmodifikatoren
- Sind Zugänglichkeitsmodifikatoren ein Sicherheitsmerkmal?
- Vererbung und Objektaufteilung
- Implementierung des Kopieroperators
- Der Kopieroperator und die Veränderbarkeit
- Veränderlichkeit
- Objekte mit veränderlicher Prädikatsfunktion
- Lab - Objekt mit veränderlicher Prädikatsfunktion
Verwendung anfälliger Komponenten
- Sicherheit von KI-generiertem Code
- Praktische Angriffe auf Tools zur Codegenerierung
- Abhängigkeits-Halluzination durch generative KI
- Fallstudie - Eine Geschichte der Schwächen von GitHub Copilot (bis Mitte 2024)
[/list]- Verantwortungsbewusst kodieren mit GenAI
- Schwachstellen in der Speicherverwaltung
- Härtung der Speicherverwaltung
- Häufige Sicherheitslücken in Software
- Verwendung anfälliger Komponenten
- EinpackenDieser Text wurde automatisiert übersetzt. Um den englischen Originaltext anzuzeigen, klicken Sie bitte hier.3 Tage2250.002250.002250.002250.002250.00