Code responsibly with generative AI in C# (desktop applications)CRWGAICCYCydrillCY-CRWGAIC1.0<ul>
<li>Das Wesentliche der verantwortungsvollen KI verstehen</li><li>Vertrautmachen mit grundlegenden Konzepten der Cybersicherheit</li><li>Ansätze und Grundsätze der Eingabevalidierung</li><li>Ermittlung von Schwachstellen und deren Folgen</li><li>Lernen Sie die besten Sicherheitspraktiken in C#</li><li>Korrekte Implementierung verschiedener Sicherheitsmerkmale</li><li>Verwaltung von Schwachstellen in Komponenten von Drittanbietern</li><li>Verstehen, wie Kryptographie die Sicherheit unterstützt</li><li>Lernen, wie man kryptografische APIs in C# richtig verwendet</li><li>All dies im Kontext von GitHub Copilot</li></ul><h4></h4>
<h4></h4><p>Allgemeine C#-Entwicklung</p><p>C#-Entwickler, die Copilot oder andere GenAI-Tools verwenden</p><h4>Tag 1</h4><h4>Verantwortungsbewusst kodieren mit GenAI</h4><ul>
<li>Was ist verantwortungsvolle KI?</li><li>Was ist Sicherheit?</li><li>Bedrohung und Risiko</li><li>Arten von Cybersicherheitsbedrohungen - die CIA-Triade</li><li>Folgen von unsicherer Software</li><li>Sicherheit und verantwortungsvolle KI in der Softwareentwicklung</li><li>GenAI-Werkzeuge für die Kodierung: Copilot, Codeium und andere</li><li>Überprüfung der Eingaben
<ul>
<li>Input-Validierungsprinzipien</li><li>Denylisten und Zulassungslisten</li><li>Was zu validieren ist - die Angriffsfläche</li><li>Wo soll validiert werden - Verteidigung in der Tiefe</li><li>Wann validieren - Validierung vs. Umwandlung</li></ul></li><li>Einspritzung
<ul>
<li>Code-Einspritzung</li><li>OS-Befehlsinjektion</li><li>Übung - Befehlsinjektion</li><li>Bewährte Praktiken zur Injektion von OS-Befehlen</li><li>Vermeidung von Befehlseingaben mit den richtigen APIs</li><li>Übung - Bewährte Praktiken der Befehlsinjektion</li><li>Übung - Experimentieren mit der Befehlsinjektion in Copilot</li><li>Fallstudie - Befehlsinjektion in Ruckus</li></ul></li><li>Probleme im Umgang mit Ganzzahlen
<ul>
<li>Darstellung von Zahlen mit Vorzeichen</li><li>Integer-Visualisierung</li><li>Integer-Überlauf</li><li>Labor - Integer-Überlauf</li><li>Verwirrung mit Vorzeichen / ohne Vorzeichen</li><li>Fallstudie - Die Stockholmer Börse</li><li>Labor - Verwechslung mit Vorzeichen / ohne Vorzeichen</li><li>Labor - Experimentieren mit vorzeichenlosen/vorzeichenbehafteten Verwechslungen in Copilot</li><li>Ganzzahlige Trunkierung</li><li>Bewährte Praktiken</li><li>Upcasting</li><li>Prüfung der Vorbedingungen</li><li>Prüfung nach der Bedingung</li><li>Integer-Verarbeitung in C#</li><li>Labor - Kontrollierte Arithmetik</li><li>Übung - Experimentieren mit Integer-Überlauf in Copilot</li></ul></li><li>Dateien und Datenströme
<ul>
<li>Pfadüberquerung</li><li>Übung - Pfadüberquerung</li><li>Zusätzliche Herausforderungen in Windows</li><li>Fallstudie - Dateispoofing in WinRAR</li><li>Bewährte Verfahren zur Pfadüberquerung</li><li>Labor - Kanonisierung von Pfaden</li><li>Übung - Experimentieren mit der Pfadverfolgung in Copilot</li></ul></li></ul><h4>Tag 2</h4><h4>Überprüfung der Eingaben</h4><ul>
<li>Unsichere Reflexion
<ul>
<li>Reflexion ohne Validierung</li><li>Labor - Unsichere Reflexion</li><li>Übung - Experimentieren mit unsicherer Reflexion in Copilot</li></ul></li><li>Unsicherer nativer Code
<ul>
<li>Abhängigkeit von nativem Code</li><li>Übung - Unsicherer nativer Code</li><li>Bewährte Praktiken für den Umgang mit nativem Code</li></ul></li><li>Sicherheitsmerkmale
<ul>
<li>Authentifizierung
<ul>
<li>Grundlagen der Authentifizierung</li><li>Multi-Faktor-Authentifizierung (MFA)</li><li>Fallstudie - Der InfinityGauntlet-Angriff</li><li>Zeitbasierte Einmal-Passwörter (TOTP)</li></ul></li><li>Passwortverwaltung
<ul>
<li>Verwaltung eingehender Passwörter</li><li>Speichern von Kontopasswörtern</li><li>Passwort im Transit</li><li>Labor - Reicht das Hashing von Passwörtern aus?</li><li>Wörterbuchangriffe und Brute-Forcing</li><li>Salzen</li><li>Adaptive Hash-Funktionen für die Passwortspeicherung</li><li>Übung - Verwendung adaptiver Hash-Funktionen in C#</li><li>Übung - Verwendung adaptiver Hash-Funktionen in Copilot</li><li>Fallstudie - Fehlende Authentifizierung und Klartext-Passwortspeicherung bei Veeam</li><li>Passwort-Politik</li><li>NIST-Authentifikator-Anforderungen für gespeicherte Geheimnisse</li><li>Migration der Passwort-Datenbank</li><li>Fest kodierte Passwörter</li><li>Bewährte Praktiken</li><li>Labor - Hartkodiertes Passwort</li></ul></li><li>Schutz sensibler Informationen im Speicher
<ul>
<li>Herausforderungen beim Schutz der Erinnerung</li><li>Fallstudie - Diebstahl geheimer Microsoft-Schlüssel über Dump-Dateien</li><li>Speicherung sensibler Daten im Speicher</li><li>Fallstudie - KeePass-Passwortleck über Zeichenketten</li></ul></li><li>Informationsexposition
<ul>
<li>Offenlegung durch extrahierte Daten und Aggregation</li><li>Fallstudie - Strava-Datenexposition</li></ul></li><li>Sicherheit der Plattform
<ul>
<li>Sicherheit der .NET-Plattform</li><li>Schutz von .NET-Code und -Anwendungen</li><li>Unterzeichnung des Codes</li></ul></li><li>Denial of Service
<ul>
<li>Überschwemmungen</li><li>Erschöpfung der Ressourcen</li><li>Fragen der algorithmischen Komplexität</li><li>Denial of Service mit regulären Ausdrücken (ReDoS)</li><li>Labor - ReDoS</li><li>Labor - Experimentieren mit ReDoS in Copilot</li><li>Der Umgang mit ReDoS</li></ul></li><li>Verwendung anfälliger Komponenten
<ul>
<li>Fallstudie - Der Angriff auf die Lieferkette von Polyfill.io</li><li>Management von Schwachstellen</li><li>Übung - Auffinden von Schwachstellen in Komponenten von Drittanbietern</li></ul></li><li>Sicherheit von KI-generiertem Code
<ul>
<li>Praktische Angriffe auf Tools zur Codegenerierung</li><li>Abhängigkeits-Halluzination durch generative KI</li><li>Fallstudie - Eine Geschichte der Schwächen von GitHub Copilot (bis Mitte 2024)</li></ul></li></ul>
<h4>Tag 3</h4>
<h4>Kryptographie für Entwickler</h4>
<ul>
<li>Grundlagen der Kryptographie</li><li>Krypto-APIs in C#</li><li>Elementare Algorithmen</li><li>Hashing
<ul>
<li>Grundlagen des Hashings</li><li>Hashing in C#</li><li>Übung - Hashing in C# (Erkundung mit Copilot)</li></ul></li><li>Erzeugung von Zufallszahlen
<ul>
<li>Pseudo-Zufallszahlengeneratoren (PRNGs)</li><li>Kryptografisch sichere PRNGs</li><li>Schwache und starke PRNGs</li><li>Verwendung von Zufallszahlen in C#</li><li>Übung - Verwendung von Zufallszahlen in C# (Erkundung mit Copilot)</li><li>Fallstudie - Equifax-Kontosperrung</li></ul></li><li>Schutz der Vertraulichkeit
<ul>
<li>Symmetrische Verschlüsselung
<ul>
<li>Blockchiffren</li><li>Betriebsarten</li><li>Betriebsarten und IV - bewährte Verfahren</li><li>Symmetrische Verschlüsselung in C#</li><li>Symmetrische Verschlüsselung in C# mit Streams</li><li>Übung - Symmetrische Verschlüsselung in C# (Erkundung mit Copilot)</li><li>Fallstudie - Padding-Orakel in RCE gegen Citrix ShareFile verwendet</li></ul></li><li>Asymmetrische Verschlüsselung
<ul>
<li>Der RSA-Algorithmus</li><li>RSA in C#</li><li>Kombination von symmetrischen und asymmetrischen Algorithmen</li></ul></li><li>Schlüsselaustausch und Vereinbarung
<ul>
<li>Austausch von Schlüsseln</li><li>Diffie-Hellman-Schlüsselvereinbarungsalgorithmus</li><li>Die wichtigsten Fallstricke beim Austausch und bewährte Verfahren</li></ul></li></ul></li><li>Schutz der Integrität
<ul>
<li>Nachrichten-Authentifizierungs-Code (MAC)</li><li>HMAC-Berechnung in C#</li><li>Übung - MAC-Berechnung in C#</li><li>Digitale Unterschrift
<ul>
<li>Digitale Unterschrift mit RSA</li><li>Elliptische Kurven Kryptographie</li><li>ECC-Grundlagen</li><li>Digitale Unterschrift mit ECC</li><li>Digitale Unterschrift in C#</li><li>Übung - Digitale Signatur mit ECDSA in C#</li></ul></li></ul></li><li>Häufige Sicherheitslücken in Software
<ul>
<li>Code quality
<ul>
<li>Codequalität und Sicherheit</li></ul></li><li>Umgang mit Daten
<ul>
<li>Initialisierung und Bereinigung</li><li>Initialisierungszyklen der Klasse</li><li>Übung - Initialisierungszyklen (Erkundung mit Copilot)</li></ul></li><li>Fallstricke der objektorientierten Programmierung
<ul>
<li>Vererbung und Overriding</li><li>Veränderlichkeit</li><li>Lab - Veränderbares Objekt (Erkundung mit Copilot)</li></ul></li><li>Serialisierung
<ul>
<li>Herausforderungen bei Serialisierung und Deserialisierung</li><li>Integrität - Deserialisierung nicht vertrauenswürdiger Datenströme</li><li>Integrität - bewährte Verfahren zur Deserialisierung</li><li>Vorausschauende Deserialisierung</li><li>Eigenschaftsorientiertes Programmieren (POP)</li><li>Erstellen einer POP-Nutzlast</li><li>Übung - Erstellen einer POP-Nutzlast</li><li>Übung - Verwendung der POP-Nutzlast</li><li>Fallstudie - Deserialisierung RCE in Veeam</li></ul></li></ul></li><li>Einpacken
<ul>
<li>Grundsätze der sicheren Kodierung</li><li>Grundsätze der robusten Programmierung von Matt Bishop</li><li>Sichere Gestaltungsprinzipien von Saltzer und Schroeder</li><li>Und was nun?</li><li>Quellen zur Softwaresicherheit und weiterführende Literatur</li><li>.NET- und C#-Ressourcen</li><li>Verantwortungsvolle KI-Prinzipien in der Softwareentwicklung</li><li>Generative AI - Ressourcen und zusätzliche Anleitungen</li></ul></li></ul></li></ul><p><em>Dieser Text wurde automatisiert übersetzt. Um den englischen Originaltext anzuzeigen, klicken Sie bitte <span class="cms-link-marked"><a class="fl-href-prod" href="/swisscom/en/course/cydrill-crwgaic"><svg role="img" aria-hidden="true" focusable="false" data-nosnippet class="cms-linkmark"><use xlink:href="/css/img/icnset-linkmarks.svg#linkmark"></use></svg>hier</a></span>.</em></p>- Das Wesentliche der verantwortungsvollen KI verstehen
- Vertrautmachen mit grundlegenden Konzepten der Cybersicherheit
- Ansätze und Grundsätze der Eingabevalidierung
- Ermittlung von Schwachstellen und deren Folgen
- Lernen Sie die besten Sicherheitspraktiken in C#
- Korrekte Implementierung verschiedener Sicherheitsmerkmale
- Verwaltung von Schwachstellen in Komponenten von Drittanbietern
- Verstehen, wie Kryptographie die Sicherheit unterstützt
- Lernen, wie man kryptografische APIs in C# richtig verwendet
- All dies im Kontext von GitHub CopilotAllgemeine C#-EntwicklungC#-Entwickler, die Copilot oder andere GenAI-Tools verwendenTag 1
Verantwortungsbewusst kodieren mit GenAI
- Was ist verantwortungsvolle KI?
- Was ist Sicherheit?
- Bedrohung und Risiko
- Arten von Cybersicherheitsbedrohungen - die CIA-Triade
- Folgen von unsicherer Software
- Sicherheit und verantwortungsvolle KI in der Softwareentwicklung
- GenAI-Werkzeuge für die Kodierung: Copilot, Codeium und andere
- Überprüfung der Eingaben
- Input-Validierungsprinzipien
- Denylisten und Zulassungslisten
- Was zu validieren ist - die Angriffsfläche
- Wo soll validiert werden - Verteidigung in der Tiefe
- Wann validieren - Validierung vs. Umwandlung
- Einspritzung
- Code-Einspritzung
- OS-Befehlsinjektion
- Übung - Befehlsinjektion
- Bewährte Praktiken zur Injektion von OS-Befehlen
- Vermeidung von Befehlseingaben mit den richtigen APIs
- Übung - Bewährte Praktiken der Befehlsinjektion
- Übung - Experimentieren mit der Befehlsinjektion in Copilot
- Fallstudie - Befehlsinjektion in Ruckus
- Probleme im Umgang mit Ganzzahlen
- Darstellung von Zahlen mit Vorzeichen
- Integer-Visualisierung
- Integer-Überlauf
- Labor - Integer-Überlauf
- Verwirrung mit Vorzeichen / ohne Vorzeichen
- Fallstudie - Die Stockholmer Börse
- Labor - Verwechslung mit Vorzeichen / ohne Vorzeichen
- Labor - Experimentieren mit vorzeichenlosen/vorzeichenbehafteten Verwechslungen in Copilot
- Ganzzahlige Trunkierung
- Bewährte Praktiken
- Upcasting
- Prüfung der Vorbedingungen
- Prüfung nach der Bedingung
- Integer-Verarbeitung in C#
- Labor - Kontrollierte Arithmetik
- Übung - Experimentieren mit Integer-Überlauf in Copilot
- Dateien und Datenströme
- Pfadüberquerung
- Übung - Pfadüberquerung
- Zusätzliche Herausforderungen in Windows
- Fallstudie - Dateispoofing in WinRAR
- Bewährte Verfahren zur Pfadüberquerung
- Labor - Kanonisierung von Pfaden
- Übung - Experimentieren mit der Pfadverfolgung in Copilot
Tag 2
Überprüfung der Eingaben
- Unsichere Reflexion
- Reflexion ohne Validierung
- Labor - Unsichere Reflexion
- Übung - Experimentieren mit unsicherer Reflexion in Copilot
- Unsicherer nativer Code
- Abhängigkeit von nativem Code
- Übung - Unsicherer nativer Code
- Bewährte Praktiken für den Umgang mit nativem Code
- Sicherheitsmerkmale
- Authentifizierung
- Grundlagen der Authentifizierung
- Multi-Faktor-Authentifizierung (MFA)
- Fallstudie - Der InfinityGauntlet-Angriff
- Zeitbasierte Einmal-Passwörter (TOTP)
- Passwortverwaltung
- Verwaltung eingehender Passwörter
- Speichern von Kontopasswörtern
- Passwort im Transit
- Labor - Reicht das Hashing von Passwörtern aus?
- Wörterbuchangriffe und Brute-Forcing
- Salzen
- Adaptive Hash-Funktionen für die Passwortspeicherung
- Übung - Verwendung adaptiver Hash-Funktionen in C#
- Übung - Verwendung adaptiver Hash-Funktionen in Copilot
- Fallstudie - Fehlende Authentifizierung und Klartext-Passwortspeicherung bei Veeam
- Passwort-Politik
- NIST-Authentifikator-Anforderungen für gespeicherte Geheimnisse
- Migration der Passwort-Datenbank
- Fest kodierte Passwörter
- Bewährte Praktiken
- Labor - Hartkodiertes Passwort
- Schutz sensibler Informationen im Speicher
- Herausforderungen beim Schutz der Erinnerung
- Fallstudie - Diebstahl geheimer Microsoft-Schlüssel über Dump-Dateien
- Speicherung sensibler Daten im Speicher
- Fallstudie - KeePass-Passwortleck über Zeichenketten
- Informationsexposition
- Offenlegung durch extrahierte Daten und Aggregation
- Fallstudie - Strava-Datenexposition
- Sicherheit der Plattform
- Sicherheit der .NET-Plattform
- Schutz von .NET-Code und -Anwendungen
- Unterzeichnung des Codes
- Denial of Service
- Überschwemmungen
- Erschöpfung der Ressourcen
- Fragen der algorithmischen Komplexität
- Denial of Service mit regulären Ausdrücken (ReDoS)
- Labor - ReDoS
- Labor - Experimentieren mit ReDoS in Copilot
- Der Umgang mit ReDoS
- Verwendung anfälliger Komponenten
- Fallstudie - Der Angriff auf die Lieferkette von Polyfill.io
- Management von Schwachstellen
- Übung - Auffinden von Schwachstellen in Komponenten von Drittanbietern
- Sicherheit von KI-generiertem Code
- Praktische Angriffe auf Tools zur Codegenerierung
- Abhängigkeits-Halluzination durch generative KI
- Fallstudie - Eine Geschichte der Schwächen von GitHub Copilot (bis Mitte 2024)
Tag 3
Kryptographie für Entwickler
- Grundlagen der Kryptographie
- Krypto-APIs in C#
- Elementare Algorithmen
- Hashing
- Grundlagen des Hashings
- Hashing in C#
- Übung - Hashing in C# (Erkundung mit Copilot)
- Erzeugung von Zufallszahlen
- Pseudo-Zufallszahlengeneratoren (PRNGs)
- Kryptografisch sichere PRNGs
- Schwache und starke PRNGs
- Verwendung von Zufallszahlen in C#
- Übung - Verwendung von Zufallszahlen in C# (Erkundung mit Copilot)
- Fallstudie - Equifax-Kontosperrung
- Schutz der Vertraulichkeit
- Symmetrische Verschlüsselung
- Blockchiffren
- Betriebsarten
- Betriebsarten und IV - bewährte Verfahren
- Symmetrische Verschlüsselung in C#
- Symmetrische Verschlüsselung in C# mit Streams
- Übung - Symmetrische Verschlüsselung in C# (Erkundung mit Copilot)
- Fallstudie - Padding-Orakel in RCE gegen Citrix ShareFile verwendet
- Asymmetrische Verschlüsselung
- Der RSA-Algorithmus
- RSA in C#
- Kombination von symmetrischen und asymmetrischen Algorithmen
- Schlüsselaustausch und Vereinbarung
- Austausch von Schlüsseln
- Diffie-Hellman-Schlüsselvereinbarungsalgorithmus
- Die wichtigsten Fallstricke beim Austausch und bewährte Verfahren
- Schutz der Integrität
- Nachrichten-Authentifizierungs-Code (MAC)
- HMAC-Berechnung in C#
- Übung - MAC-Berechnung in C#
- Digitale Unterschrift
- Digitale Unterschrift mit RSA
- Elliptische Kurven Kryptographie
- ECC-Grundlagen
- Digitale Unterschrift mit ECC
- Digitale Unterschrift in C#
- Übung - Digitale Signatur mit ECDSA in C#
- Häufige Sicherheitslücken in Software
- Code quality
- Codequalität und Sicherheit
- Umgang mit Daten
- Initialisierung und Bereinigung
- Initialisierungszyklen der Klasse
- Übung - Initialisierungszyklen (Erkundung mit Copilot)
- Fallstricke der objektorientierten Programmierung
- Vererbung und Overriding
- Veränderlichkeit
- Lab - Veränderbares Objekt (Erkundung mit Copilot)
- Serialisierung
- Herausforderungen bei Serialisierung und Deserialisierung
- Integrität - Deserialisierung nicht vertrauenswürdiger Datenströme
- Integrität - bewährte Verfahren zur Deserialisierung
- Vorausschauende Deserialisierung
- Eigenschaftsorientiertes Programmieren (POP)
- Erstellen einer POP-Nutzlast
- Übung - Erstellen einer POP-Nutzlast
- Übung - Verwendung der POP-Nutzlast
- Fallstudie - Deserialisierung RCE in Veeam
- Einpacken
- Grundsätze der sicheren Kodierung
- Grundsätze der robusten Programmierung von Matt Bishop
- Sichere Gestaltungsprinzipien von Saltzer und Schroeder
- Und was nun?
- Quellen zur Softwaresicherheit und weiterführende Literatur
- .NET- und C#-Ressourcen
- Verantwortungsvolle KI-Prinzipien in der Softwareentwicklung
- Generative AI - Ressourcen und zusätzliche AnleitungenDieser Text wurde automatisiert übersetzt. Um den englischen Originaltext anzuzeigen, klicken Sie bitte hier.3 Tage2250.002250.002250.002250.002250.00