Code responsibly with generative AI in PythonCRWGAIPCYCydrillCY-CRWGAIP1.0<ul>
<li>Die Grundlagen der verantwortungsvollen KI verstehen</li><li>Vertrautmachen mit grundlegenden Konzepten der Cybersicherheit</li><li>Verstehen, wie Kryptographie die Sicherheit unterstützt</li><li>Lernen, wie man kryptografische APIs in Python richtig verwendet</li><li>Verständnis von Sicherheitsfragen bei Webanwendungen</li><li>Detaillierte Analyse der OWASP Top Ten Elemente</li><li>Die Sicherheit von Webanwendungen im Kontext von Python</li><li>Über die niedrig hängenden Früchte hinausgehen</li><li>Verwaltung von Schwachstellen in Komponenten von Drittanbietern</li><li>All dies im Kontext von GitHub Copilot</li></ul><p>Allgemeine Python- und Webentwicklung</p><p>Python-Entwickler, die Copilot oder andere GenAI-Tools verwenden</p><h4>Tag 1</h4><h4>Verantwortungsbewusst kodieren mit GenAI</h4><ul>
<li>Was ist verantwortungsvolle KI?</li><li>Was ist Sicherheit?</li><li>Bedrohung und Risiko</li><li>Arten von Cybersicherheitsbedrohungen - die CIA-Triade</li><li>Folgen von unsicherer Software</li><li>Sicherheit und verantwortungsvolle KI in der Softwareentwicklung</li><li>GenAI-Werkzeuge für die Kodierung: Copilot, Codeium und andere</li><li>Die OWASP Top Ten aus der Sicht von Copilot
<ul>
<li>Die OWASP Top Ten 2021
<ul>
<li>A01 - Defekte Zugangskontrolle
<ul>
<li>Grundlagen der Zugangskontrolle</li><li>Keine Beschränkung des URL-Zugriffs</li><li>Verwirrter Abgeordneter</li><li>Unsichere direkte Objektreferenz (IDOR)</li><li>Pfadüberquerung</li><li>Übung - Unsichere direkte Objektreferenz</li><li>Bewährte Verfahren zur Pfadüberquerung</li><li>Übung - Experimentieren mit der Pfadverfolgung in Copilot</li><li>Berechtigungsumgehung durch benutzergesteuerte Schlüssel</li><li>Fallbeispiel - Fernübernahme von Nexx Garagentoren und Alarmanlagen</li><li>Labor - Horizontale Genehmigung (Erkundung mit Copilot)</li><li>Hochladen von Dateien
<ul>
<li>Uneingeschränkter Datei-Upload</li><li>Bewährte Praktiken</li><li>Übung - Uneingeschränkter Datei-Upload (Erkundung mit Copilot)</li></ul></li></ul></li><li>A02 - Kryptographische Ausfälle
<ul>
<li>Kryptographie für Entwickler</li><li>Grundlagen der Kryptographie</li><li>Kryptographie in Python</li><li>Elementare Algorithmen</li><li>Hashing
<ul>
<li>Grundlagen des Hashings</li><li>Hashing in Python</li><li>Übung - Hashing in Python (Erkundung mit Copilot)</li></ul></li><li>Erzeugung von Zufallszahlen
<ul>
<li>Pseudo-Zufallszahlengeneratoren (PRNGs)</li><li>Kryptografisch sichere PRNGs</li><li>Schwache PRNGs</li><li>Verwendung von Zufallszahlen</li><li>Übung - Verwendung von Zufallszahlen in Python (Erkundung mit Copilot)</li><li>Übung - Sichere PRNG-Verwendung in Copilot</li></ul></li><li>Schutz der Vertraulichkeit
<ul>
<li>Symmetrische Verschlüsselung
<ul>
<li>Blockchiffren</li><li>Betriebsarten</li><li>Betriebsarten und IV - bewährte Verfahren</li><li>Symmetrische Verschlüsselung in Python</li><li>Übung - Symmetrische Verschlüsselung in Python (Erkundung mit Copilot)</li></ul></li><li>Asymmetrische Verschlüsselung</li><li>Kombination von symmetrischen und asymmetrischen Algorithmen</li></ul></li></ul></li></ul></li></ul></li></ul><h4>Tag 2</h4><h4>Die OWASP Top Ten aus der Sicht von Copilot</h4><ul>
<li>A03 - Injektion
<ul>
<li>Injektionsprinzipien</li><li>Injektionsangriffe
<ul>
<li>SQL-Einschleusung
<ul>
<li>Grundlagen der SQL-Injektion</li><li>Übung - SQL-Injektion</li><li>Angriffsmethoden
<ul>
<li>Inhaltsbasierte blinde SQL-Injektion</li><li>Zeitbasierte blinde SQL-Injektion</li></ul></li><li>Bewährte Praktiken zur SQL-Einschleusung</li><li>Überprüfung der Eingaben</li><li>Parametrisierte Abfragen</li><li>Übung - Verwendung vorbereiteter Erklärungen</li><li>Übung - Experimentieren mit SQL-Injection in Copilot</li><li>Datenbankverteidigung in der Tiefe</li><li>Fallstudie - SQL-Injection gegen US-Flughafensicherheit</li></ul></li><li>Code-Einspritzung
<ul>
<li>Code-Injektion über input()</li><li>OS-Befehlsinjektion</li><li>Übung - Befehlsinjektion</li><li>Bewährte Praktiken zur Injektion von OS-Befehlen</li><li>Vermeidung von Befehlseingaben mit den richtigen APIs</li><li>Übung - Bewährte Praktiken der Befehlseingabe</li><li>Übung - Experimentieren mit der Befehlsinjektion in Copilot</li><li>Fallstudie - Shellshock</li><li>Labor - Shellshock</li><li>Fallstudie - Befehlsinjektion in Ivanti-Sicherheitsanwendungen</li></ul></li><li>HTML-Injektion - Cross-Site-Scripting (XSS)
<ul>
<li>Grundlagen des Cross-Site-Scripting</li><li>Cross-Site-Scripting-Typen
<ul>
<li>Anhaltendes Cross-Site-Scripting</li><li>Reflektiertes Cross-Site-Scripting</li><li>Client-seitiges (DOM-basiertes) Cross-Site-Scripting</li></ul></li><li>Übung - Gespeicherte XSS</li><li>Labor - Reflektiertes XSS</li><li>Fallstudie - XSS zu RCE in Teltonika-Routern</li><li>Bewährte Praktiken zum Schutz vor XSS</li><li>Schutzprinzipien - Flucht</li><li>XSS-Schutz-APIs in Python</li><li>XSS-Schutz in Jinja2</li><li>Lab - XSS fix / gespeichert (Erkundung mit Copilot)</li><li>Labor - XSS-Behebung / reflektiert (Erkundung mit Copilot)</li><li>Fallstudie - XSS-Schwachstellen in DrayTek Vigor-Routern</li></ul></li></ul></li><li>A04 - Unsicheres Design
<ul>
<li>Das STRIDE-Modell der Bedrohungen</li><li>Sichere Gestaltungsprinzipien von Saltzer und Schroeder
<ul>
<li>Wirtschaftlichkeit des Mechanismus</li><li>Ausfallsichere Standardwerte</li><li>Vollständige Mediation</li><li>Open design</li><li>Trennung der Privilegien</li><li>Geringstes Privileg</li><li>Am wenigsten verbreiteter Mechanismus</li><li>Psychologische Akzeptanz</li></ul></li><li>Client-seitige Sicherheit
<ul>
<li>Politik der gleichen Herkunft</li><li>Einfacher Antrag</li><li>Preflight-Anfrage</li><li>Ursprungsübergreifende Ressourcennutzung (CORS)</li><li>Labor - Demo zur Politik des gleichen Herkunftslandes</li><li>Rahmen-Sandboxing</li><li>Cross-Frame-Scripting-Angriffe (XFS)</li><li>Labor - Clickjacking</li><li>Clickjacking geht über die Entführung eines Klicks hinaus</li><li>Bewährte Praktiken zum Schutz vor Clickjacking</li><li>Übung - Verwendung von CSP zur Verhinderung von Clickjacking (Erkundung mit Copilot)</li></ul></li></ul></li></ul>
<h4>Tag 3</h4>
<h4>Die OWASP Top Ten aus der Sicht von Copilot</h4>
<ul>
<li>A05 - Fehlkonfiguration der Sicherheit
<ul>
<li>Grundsätze der Konfiguration</li><li>Server-Fehlkonfiguration</li><li>Bewährte Verfahren für die Python-Konfiguration</li><li>Flask konfigurieren</li><li>Cookie-Sicherheit
<ul>
<li>Cookie-Attribute</li></ul></li><li>XML-Entitäten
<ul>
<li>DTD und die Entitäten</li><li>Erweiterung der Entität</li><li>Angriff auf externe Entitäten (XXE)</li><li>Einbeziehung von Dateien mit externen Stellen</li><li>Server-Side Request Forgery mit externen Entitäten</li><li>Labor - Angriff einer externen Einheit</li><li>Verhinderung von XXE</li><li>Labor - Verbot der DTD</li><li>Fallstudie - XXE-Schwachstelle in Ivanti-Produkten</li><li>Labor - Experimentieren mit XXE in Copilot</li></ul></li></ul></li><li>A06 - Anfällige und veraltete Komponenten
<ul>
<li>Verwendung anfälliger Komponenten</li><li>Import von nicht vertrauenswürdigen Funktionen</li><li>Bösartige Pakete in Python</li><li>Fallstudie - Der Angriff auf die Lieferkette von Polyfill.io</li><li>Management von Schwachstellen</li><li>Übung - Auffinden von Schwachstellen in Komponenten von Drittanbietern</li><li>Sicherheit von KI-generiertem Code</li><li>Praktische Angriffe auf Tools zur Codegenerierung</li><li>Abhängigkeits-Halluzination durch generative KI</li><li>Fallstudie - Eine Geschichte der Schwächen von GitHub Copilot (bis Mitte 2024)</li></ul></li><li>A07 - Fehler bei der Identifizierung und Authentifizierung
<ul>
<li>Authentifizierung
<ul>
<li>Grundlagen der Authentifizierung</li><li>Multi-Faktor-Authentifizierung (MFA)</li><li>Fallstudie - Der InfinityGauntlet-Angriff</li><li>Zeitbasierte Einmal-Passwörter (TOTP)</li></ul></li><li>Passwortverwaltung
<ul>
<li>Verwaltung eingehender Passwörter</li><li>Speichern von Kontopasswörtern</li><li>Passwort im Transit</li><li>Labor - Reicht das Hashing von Passwörtern aus?</li><li>Wörterbuchangriffe und Brute-Forcing</li><li>Salzen</li><li>Adaptive Hash-Funktionen für die Passwortspeicherung</li><li>Übung - Verwendung adaptiver Hash-Funktionen in Python</li><li>Übung - Verwendung adaptiver Hash-Funktionen in Copilot</li><li>Passwort-Politik</li><li>NIST-Authentifikator-Anforderungen für gespeicherte Geheimnisse</li><li>Migration der Passwort-Datenbank</li></ul></li></ul></li><li>A08 - Fehler in der Software und Datenintegrität
<ul>
<li>Schutz der Integrität
<ul>
<li>Nachrichten-Authentifizierungs-Code (MAC)</li><li>HMAC-Berechnung in Python</li><li>Übung - MAC-Berechnung in Python</li></ul></li><li>Digitale Unterschrift
<ul>
<li>Digitale Unterschrift in Python</li></ul></li><li>Integrität der Subressource
<ul>
<li>JavaScript importieren</li><li>Übung - JavaScript importieren (mit Copilot erkunden)</li><li>Fallstudie - Die Datenschutzverletzung bei British Airways</li></ul></li></ul></li><li>A10 - Server-seitige Anforderungsfälschung (SSRF)
<ul>
<li>Server-seitige Anforderungsfälschung (SSRF)</li><li>Fallbeispiel - SSRF in Ivanti Connect Secure</li></ul></li><li>Einpacken
<ul>
<li>Grundsätze der sicheren Kodierung</li><li>Grundsätze der robusten Programmierung von Matt Bishop</li><li>Und was nun?</li><li>Quellen zur Softwaresicherheit und weiterführende Literatur</li><li>Python-Ressourcen</li><li>Verantwortungsvolle KI-Prinzipien in der Softwareentwicklung</li><li>Generative AI - Ressourcen und zusätzliche Anleitungen</li></ul></li></ul></li></ul><ul>
<li>Verantwortungsbewusst kodieren mit GenAI</li><li>Die OWASP Top Ten aus der Sicht von Copilot</li><li>Einpacken</li></ul><p><em>Dieser Text wurde automatisiert übersetzt. Um den englischen Originaltext anzuzeigen, klicken Sie bitte <span class="cms-link-marked"><a class="fl-href-prod" href="/swisscom/en/course/cydrill-crwgaip"><svg role="img" aria-hidden="true" focusable="false" data-nosnippet class="cms-linkmark"><use xlink:href="/css/img/icnset-linkmarks.svg#linkmark"></use></svg>hier</a></span>.</em></p>- Die Grundlagen der verantwortungsvollen KI verstehen
- Vertrautmachen mit grundlegenden Konzepten der Cybersicherheit
- Verstehen, wie Kryptographie die Sicherheit unterstützt
- Lernen, wie man kryptografische APIs in Python richtig verwendet
- Verständnis von Sicherheitsfragen bei Webanwendungen
- Detaillierte Analyse der OWASP Top Ten Elemente
- Die Sicherheit von Webanwendungen im Kontext von Python
- Über die niedrig hängenden Früchte hinausgehen
- Verwaltung von Schwachstellen in Komponenten von Drittanbietern
- All dies im Kontext von GitHub CopilotAllgemeine Python- und WebentwicklungPython-Entwickler, die Copilot oder andere GenAI-Tools verwendenTag 1
Verantwortungsbewusst kodieren mit GenAI
- Was ist verantwortungsvolle KI?
- Was ist Sicherheit?
- Bedrohung und Risiko
- Arten von Cybersicherheitsbedrohungen - die CIA-Triade
- Folgen von unsicherer Software
- Sicherheit und verantwortungsvolle KI in der Softwareentwicklung
- GenAI-Werkzeuge für die Kodierung: Copilot, Codeium und andere
- Die OWASP Top Ten aus der Sicht von Copilot
- Die OWASP Top Ten 2021
- A01 - Defekte Zugangskontrolle
- Grundlagen der Zugangskontrolle
- Keine Beschränkung des URL-Zugriffs
- Verwirrter Abgeordneter
- Unsichere direkte Objektreferenz (IDOR)
- Pfadüberquerung
- Übung - Unsichere direkte Objektreferenz
- Bewährte Verfahren zur Pfadüberquerung
- Übung - Experimentieren mit der Pfadverfolgung in Copilot
- Berechtigungsumgehung durch benutzergesteuerte Schlüssel
- Fallbeispiel - Fernübernahme von Nexx Garagentoren und Alarmanlagen
- Labor - Horizontale Genehmigung (Erkundung mit Copilot)
- Hochladen von Dateien
- Uneingeschränkter Datei-Upload
- Bewährte Praktiken
- Übung - Uneingeschränkter Datei-Upload (Erkundung mit Copilot)
- A02 - Kryptographische Ausfälle
- Kryptographie für Entwickler
- Grundlagen der Kryptographie
- Kryptographie in Python
- Elementare Algorithmen
- Hashing
- Grundlagen des Hashings
- Hashing in Python
- Übung - Hashing in Python (Erkundung mit Copilot)
- Erzeugung von Zufallszahlen
- Pseudo-Zufallszahlengeneratoren (PRNGs)
- Kryptografisch sichere PRNGs
- Schwache PRNGs
- Verwendung von Zufallszahlen
- Übung - Verwendung von Zufallszahlen in Python (Erkundung mit Copilot)
- Übung - Sichere PRNG-Verwendung in Copilot
- Schutz der Vertraulichkeit
- Symmetrische Verschlüsselung
- Blockchiffren
- Betriebsarten
- Betriebsarten und IV - bewährte Verfahren
- Symmetrische Verschlüsselung in Python
- Übung - Symmetrische Verschlüsselung in Python (Erkundung mit Copilot)
- Asymmetrische Verschlüsselung
- Kombination von symmetrischen und asymmetrischen Algorithmen
Tag 2
Die OWASP Top Ten aus der Sicht von Copilot
- A03 - Injektion
- Injektionsprinzipien
- Injektionsangriffe
- SQL-Einschleusung
- Grundlagen der SQL-Injektion
- Übung - SQL-Injektion
- Angriffsmethoden
- Inhaltsbasierte blinde SQL-Injektion
- Zeitbasierte blinde SQL-Injektion
- Bewährte Praktiken zur SQL-Einschleusung
- Überprüfung der Eingaben
- Parametrisierte Abfragen
- Übung - Verwendung vorbereiteter Erklärungen
- Übung - Experimentieren mit SQL-Injection in Copilot
- Datenbankverteidigung in der Tiefe
- Fallstudie - SQL-Injection gegen US-Flughafensicherheit
- Code-Einspritzung
- Code-Injektion über input()
- OS-Befehlsinjektion
- Übung - Befehlsinjektion
- Bewährte Praktiken zur Injektion von OS-Befehlen
- Vermeidung von Befehlseingaben mit den richtigen APIs
- Übung - Bewährte Praktiken der Befehlseingabe
- Übung - Experimentieren mit der Befehlsinjektion in Copilot
- Fallstudie - Shellshock
- Labor - Shellshock
- Fallstudie - Befehlsinjektion in Ivanti-Sicherheitsanwendungen
- HTML-Injektion - Cross-Site-Scripting (XSS)
- Grundlagen des Cross-Site-Scripting
- Cross-Site-Scripting-Typen
- Anhaltendes Cross-Site-Scripting
- Reflektiertes Cross-Site-Scripting
- Client-seitiges (DOM-basiertes) Cross-Site-Scripting
- Übung - Gespeicherte XSS
- Labor - Reflektiertes XSS
- Fallstudie - XSS zu RCE in Teltonika-Routern
- Bewährte Praktiken zum Schutz vor XSS
- Schutzprinzipien - Flucht
- XSS-Schutz-APIs in Python
- XSS-Schutz in Jinja2
- Lab - XSS fix / gespeichert (Erkundung mit Copilot)
- Labor - XSS-Behebung / reflektiert (Erkundung mit Copilot)
- Fallstudie - XSS-Schwachstellen in DrayTek Vigor-Routern
- A04 - Unsicheres Design
- Das STRIDE-Modell der Bedrohungen
- Sichere Gestaltungsprinzipien von Saltzer und Schroeder
- Wirtschaftlichkeit des Mechanismus
- Ausfallsichere Standardwerte
- Vollständige Mediation
- Open design
- Trennung der Privilegien
- Geringstes Privileg
- Am wenigsten verbreiteter Mechanismus
- Psychologische Akzeptanz
- Client-seitige Sicherheit
- Politik der gleichen Herkunft
- Einfacher Antrag
- Preflight-Anfrage
- Ursprungsübergreifende Ressourcennutzung (CORS)
- Labor - Demo zur Politik des gleichen Herkunftslandes
- Rahmen-Sandboxing
- Cross-Frame-Scripting-Angriffe (XFS)
- Labor - Clickjacking
- Clickjacking geht über die Entführung eines Klicks hinaus
- Bewährte Praktiken zum Schutz vor Clickjacking
- Übung - Verwendung von CSP zur Verhinderung von Clickjacking (Erkundung mit Copilot)
Tag 3
Die OWASP Top Ten aus der Sicht von Copilot
- A05 - Fehlkonfiguration der Sicherheit
- Grundsätze der Konfiguration
- Server-Fehlkonfiguration
- Bewährte Verfahren für die Python-Konfiguration
- Flask konfigurieren
- Cookie-Sicherheit
- Cookie-Attribute
- XML-Entitäten
- DTD und die Entitäten
- Erweiterung der Entität
- Angriff auf externe Entitäten (XXE)
- Einbeziehung von Dateien mit externen Stellen
- Server-Side Request Forgery mit externen Entitäten
- Labor - Angriff einer externen Einheit
- Verhinderung von XXE
- Labor - Verbot der DTD
- Fallstudie - XXE-Schwachstelle in Ivanti-Produkten
- Labor - Experimentieren mit XXE in Copilot
- A06 - Anfällige und veraltete Komponenten
- Verwendung anfälliger Komponenten
- Import von nicht vertrauenswürdigen Funktionen
- Bösartige Pakete in Python
- Fallstudie - Der Angriff auf die Lieferkette von Polyfill.io
- Management von Schwachstellen
- Übung - Auffinden von Schwachstellen in Komponenten von Drittanbietern
- Sicherheit von KI-generiertem Code
- Praktische Angriffe auf Tools zur Codegenerierung
- Abhängigkeits-Halluzination durch generative KI
- Fallstudie - Eine Geschichte der Schwächen von GitHub Copilot (bis Mitte 2024)
- A07 - Fehler bei der Identifizierung und Authentifizierung
- Authentifizierung
- Grundlagen der Authentifizierung
- Multi-Faktor-Authentifizierung (MFA)
- Fallstudie - Der InfinityGauntlet-Angriff
- Zeitbasierte Einmal-Passwörter (TOTP)
- Passwortverwaltung
- Verwaltung eingehender Passwörter
- Speichern von Kontopasswörtern
- Passwort im Transit
- Labor - Reicht das Hashing von Passwörtern aus?
- Wörterbuchangriffe und Brute-Forcing
- Salzen
- Adaptive Hash-Funktionen für die Passwortspeicherung
- Übung - Verwendung adaptiver Hash-Funktionen in Python
- Übung - Verwendung adaptiver Hash-Funktionen in Copilot
- Passwort-Politik
- NIST-Authentifikator-Anforderungen für gespeicherte Geheimnisse
- Migration der Passwort-Datenbank
- A08 - Fehler in der Software und Datenintegrität
- Schutz der Integrität
- Nachrichten-Authentifizierungs-Code (MAC)
- HMAC-Berechnung in Python
- Übung - MAC-Berechnung in Python
- Digitale Unterschrift
- Digitale Unterschrift in Python
- Integrität der Subressource
- JavaScript importieren
- Übung - JavaScript importieren (mit Copilot erkunden)
- Fallstudie - Die Datenschutzverletzung bei British Airways
- A10 - Server-seitige Anforderungsfälschung (SSRF)
- Server-seitige Anforderungsfälschung (SSRF)
- Fallbeispiel - SSRF in Ivanti Connect Secure
- Einpacken
- Grundsätze der sicheren Kodierung
- Grundsätze der robusten Programmierung von Matt Bishop
- Und was nun?
- Quellen zur Softwaresicherheit und weiterführende Literatur
- Python-Ressourcen
- Verantwortungsvolle KI-Prinzipien in der Softwareentwicklung
- Generative AI - Ressourcen und zusätzliche Anleitungen- Verantwortungsbewusst kodieren mit GenAI
- Die OWASP Top Ten aus der Sicht von Copilot
- EinpackenDieser Text wurde automatisiert übersetzt. Um den englischen Originaltext anzuzeigen, klicken Sie bitte hier.3 Tage2250.002250.002250.002250.002250.00