Ganz gleich, ob Sie Informatik, Softwareentwicklung oder Cybersicherheit unterrichten – mit Aikido Ihre Schüler kostenlos Sicherheits-Tools auf Unternehmensniveau.
Aikido Education bringt dieselbe Plattform, auf die professionelle Teams vertrauen, in den Unterricht und hilft den Schülern, durch praktisches Tun zu lernen. Lehrer können es in ihren Unterricht integrieren, um den Schülern praktische Erfahrungen mit realen Sicherheitsherausforderungen zu vermitteln, ohne dass dies zu einer Erhöhung der Komplexität oder der Kosten führt.
Neugierig auf das „Warum“ hinter diesem Programm? Lesen Sie hier unsere Geschichte → Warum wir Aikido die Bildung eingeführt haben.
Warum Lehrer Aikido nutzen
Aikido Professoren Aikido Theorie zum Leben zu erwecken, indem es reale Schwachstellen aufzeigt, anstatt statische Folien zu präsentieren. Es ermöglicht ihnen, praktische Aufgaben zu entwerfen, bei denen die Studierenden mit echtem Code, Cloud-Konfigurationen und Laufzeitsicherheit arbeiten. Außerdem können damit Lernergebnisse und Fortschritte verfolgt werden, während die Studierenden praktische, berufsvorbereitende Erfahrungen sammeln.
Für Pädagogen
Schritt 1 – Richten Sie einen Arbeitsbereich und Teams ein
Beginnen Sie damit, einen Arbeitsbereich zu erstellen und die Schüler in Teams einzuteilen, genau wie es Sicherheitsteams in der Industrie tun. Eine Klasse mit fünfzig Schülern kann beispielsweise in fünf Teams zu je zehn Schülern oder zehn Teams zu je fünf Schülern aufgeteilt werden. Verbinden Sie Repositorys wie Kurs-Apps, Forks von Open-Source-Projekten oder spezielle Lehr-Repositorys, um den Schülern eine Sandbox zur Verfügung zu stellen, in der sie Probleme entdecken und beheben können.
Screenshot: Ein-Klick-Anmeldungsbildschirm, der zeigt, wie Professoren ein Konto erstellen und Repositorien sicher mit Lesezugriff verbinden können.
Schritt 2 – Schüler einladen
Laden Sie die Schüler in den Arbeitsbereich ein und weisen Sie ihnen Rollen zu, die festlegen, worauf sie Zugriff haben. So sammeln sie Erfahrungen mit den Zugriffskontrollen und Verantwortlichkeitspraktiken, die in professionellen Umgebungen zum Einsatz kommen, während gleichzeitig Ordnung im Klassenzimmer herrscht.
Screenshot: Ablauf der Benutzereinladung, der zeigt, wie Professoren Studenten bestimmten Teams und Aufgaben in Repositorys, clouds und Containern zuweisen können.
Schritt 3 – Führen Sie den ersten Scan durch
Sobald die Repositorys verbunden sind, scannt Aikido sie Aikido und füllt den Haupt-Feed innerhalb weniger Minuten. Verwenden Sie dies im Unterricht, um den Schülern ein professionelles Sicherheits-Dashboard zu zeigen und gemeinsam die Kategorien der Ergebnisse durchzugehen, wodurch abstrakte Konzepte in sichtbare Ergebnisse umgewandelt werden.
Screenshot: Der Aikido nach dem ersten Scan zeigt eine Reihe von Problemen in verschiedenen Kategorien mit Schweregraden, geschätzten Behebungszeiten und Statusfiltern.
Schritt 4 – Open-Source-Abhängigkeiten erkunden
Open-Source-Abhängigkeiten bilden das Rückgrat der meisten modernen Software, bergen jedoch auch Risiken. Die Teilnehmer lernen, wie CVEs sich auf Lieferketten auswirken und warum Patches so wichtig sind. Eine einfache Übung besteht darin, jedem Team ein anfälliges Paket zuzuweisen, es patchen zu lassen und den Scan erneut auszuführen, um die Korrektur zu bestätigen.
Screenshot: Anfällige Open-Source-Abhängigkeiten werden im Dashboard hervorgehoben und mit detaillierten CVE-Informationen angezeigt.
Reduzieren Sie Fehlalarme
Sicherheitswarnungen können überwältigend sein, und viele davon sind Fehlalarme. Die Teilnehmer lernen, sich auf umsetzbare Probleme zu konzentrieren, indem sie die Ansicht „Alle Ergebnisse“ mit denAikido Refined“-Ergebnissen vergleichen.
Screenshot: Vergleich zwischen allen Ergebnissen und den verfeinerten Ergebnissen Aikido, der zeigt, wie Fehlalarme um 71 % reduziert werden, um umsetzbare Schwachstellen hervorzuheben.
Erreichbarkeitsanalyse
Nicht alle Schwachstellen sind ausnutzbar. Durch die Überprüfung der Abhängigkeitspfade sehen die Studierenden, welche CVEs in ihrem Code tatsächlich erreichbar sind, und lernen, wie sie Korrekturen auf der Grundlage des tatsächlichen Risikos priorisieren können.
Screenshot: Erreichbarkeitsanalyse , das Abhängigkeitsketten für CVE-2019-10746 und die tatsächliche Verwendung des anfälligen Pakets in der Produktion zeigt.
Schritt 5 – Analyse von Cloud-Konfigurationen und compliance
Cloud , wie offene Buckets oder zu freizügige IAM-Rollen, gehören zu den häufigsten Ursachen für Sicherheitsverletzungen. Die Teilnehmer lernen, wie sich technische Fehler direkt auf Frameworks wie SOC2, ISO 27001 und OWASP Top 10 auswirken. Verwenden Sie eine Demo-Cloud-Umgebung, um Fehlkonfigurationen aufzuzeigen, und lassen Sie die Teilnehmer dann die Probleme beheben, bis sich compliance verbessern.
Screenshot: Ergebnisse einer Fehlkonfiguration in der Cloud, die verbundene Konten in AWS, Azure, GCP und DigitalOcean zeigen, mit detaillierten Ergebnissen für eine Azure-Demo-Umgebung, einschließlich deaktivierter Sicherheitsprotokollierung und Anleitungen zur Behebung.
Asset Graph + Cloud
Indem sie sehen können, wie Fehlkonfigurationen miteinander zusammenhängen, können die Studierenden besser verstehen, wie eine bessere Sichtbarkeit und ein besserer Kontext dazu beitragen können, Risiken zu mindern. Aikido natürliche Sprachabfragen über das gesamte Cloud-Inventar hinweg, sodass die Studierenden einfach beschreiben können, was sie finden möchten, und das System dies in eine Reihe logischer Schritte übersetzt. Wenn ein Student beispielsweise fragt: „Zeige mir EC2-Instanzen mit Zugriff auf S3-Buckets“, Aikido die Beziehungen zwischen Instanzen, IAM-Rollen, Bucket-Richtlinien und Berechtigungen ab und präsentiert dann die Ergebnisse Schritt für Schritt.
Screenshot: Cloud , die die natürliche Sprachabfrage „Daten, die US-IPs berühren“ zeigen, übersetzt in schrittweise Überprüfungen über EC2-Instanzen, Load Balancer, RDS-Datenbanken, S3-Buckets und Lambda-Funktionen hinweg.
Schritt 6 – Überprüfen Sie die Domänen- und API-
Externe Apps und APIs sind oft das erste Ziel von Angreifern. Die Schüler können lernen, wie DNS-Fehlkonfigurationen, schwache Header und exponierte Endpunkte Risiken verursachen. Führen Sie einen Scan einer kleinen Web-App durch und bitten Sie die Schüler, Maßnahmen wie Authentifizierung oder strengere CSP-Header anzuwenden. Führen Sie einen erneuten Scan durch, um die Verbesserungen zu vergleichen.
Screenshot: Liste der verbundenen Domänen und APIs, kategorisiert nach Typ, mit Schweregraden und offenen Problemen. Beispiele sind REST-APIs ohne Authentifizierung, Frontend-Apps mit hohen oder kritischen Risiken und Domänen, die mit „Kein Risiko“ als sicher gekennzeichnet sind.
Schritt 7 – Laufzeitschutz aktivieren
Statische Scans zeigen potenzielle Probleme auf, aber Laufzeitschutz in Echtzeit, was passiert, wenn Angriffe versucht werden. Wenn Zen Firewall aktiviert ist, können die Schüler sehen, wie SQL-Injection- oder SSRF-Versuche sofort blockiert werden. Die Ausführung desselben Angriffs ohne Schutz bietet einen eindrucksvollen Kontrast.
Screenshot: Zen Firewall-Dashboard mit Echtzeitprotokollen zu blockierten SQL-Injektionen, Shell-Injektionen und SSRF-Versuchen gegen eine anfällige Python-Anwendung.
Schritt 8 – Üben Sie die Behebung von Schwachstellen mit KI-Autofix
Das Beheben von Schwachstellen ist genauso wichtig wie deren Auffinden. AutoFix generiert KI-Pull-Anfragen über Abhängigkeiten, SAST, IaC und Container hinweg. Die Studierenden können zunächst versuchen, die Schwachstellen selbst zu beheben, und dann ihre Ergebnisse mit denen von AutoFix vergleichen, um Kompromisse zu diskutieren und zu erörtern, wann man der Automatisierung vertrauen kann.
Screenshot: AutoFix-Dashboard mit Abhängigkeitsschwachstellen mit CVEs, empfohlenen Versions-Upgrades und automatisch generierten Pull-Anfragen, die zur Überprüfung bereitstehen.
Beispiel: Gehärtete Docker-Images
Screenshot: AutoFix ersetzt ein anfälliges Basisimage durch eine sichere, gehärtete Alternative und reduziert so Probleme automatisch.
Schritt 9 – Fortschritts
überwachen Bei der Sicherheit geht es um langfristige Muster, nicht um einmalige Korrekturen. Der Bericht „Trends im Zeitverlauf“ Aikidozeigt, wie sich ungelöste Probleme ansammeln, während Teamvergleiche die Leistung verschiedener Gruppen hervorheben. Nutzen Sie diese Berichte, um den Wettbewerb im Unterricht anzuregen und Diskussionen über kontinuierliche Verbesserungen anzustoßen.
Screenshot: Der Bericht „Trends im Zeitverlauf“ zeigt, wie sich offene Probleme über verschiedene Schweregrade hinweg entwickeln, und macht deutlich, wann Schwachstellen sich häufen und wann sie behoben werden.
Screenshot: Teamvergleichsbericht, der gelöste und neu aufgetretene Probleme in den verschiedenen Gruppen sowie die compliance anzeigt, sodass Professoren den Fortschritt vergleichen und Wettbewerbe im Unterricht veranstalten können.
Schritt 10 – Erweiterte Module
PR-Gating-
In professionellen Teams wird unsicherer Code mithilfe von PR-Gating blockiert, bevor er in die Produktion gelangt. Die Studierenden lernen, wie sie PR-Gating einsetzen können, um Merges zu verhindern, die Schwachstellen oberhalb einer festgelegten Schweregradschwelle einführen.
Screenshot: PR-Gating-Konfigurationsbildschirm, der zeigt, wie Pull-Anfragen blockiert werden können, wenn sie Schwachstellen einführen, mit detaillierten Steuerelementen für Scan-Typen, Schweregradschwellenwerte und CI/CD-Integrationen.
IDE-Plugins
Die Sicherheit kann auch früher, nämlich bereits in der Programmierphase, gewährleistet werden. Mit IDE-Plugins sehen die Studierenden Probleme direkt in ihrem Editor, bevor sie den Code committen. Eine Aufgabe könnte darin bestehen, einen Fehler in VS Code zu finden, ihn zu beheben und die Lösung in Aikido zu bestätigen.
Screenshot: IDE-Plugin, das ein Problem in VS Code hervorhebt
Wie der erste Monat aussehen kann
- Verbinden Sie in der ersten Woche die Repositorys und führen Sie den ersten Scan durch, um die Kategorien der Ergebnisse vorzustellen.
- In der zweiten Woche werden Abhängigkeiten und Rauschreduzierung behandelt.
- In der dritten Woche vermitteln Sie Priorisierung mit Erreichbarkeit.
- In der vierten Woche weisen Sie Korrekturübungen mithilfe von AutoFix-Vergleichen zu.
- In der fünften Woche überprüfen Sie den Fortschritt anhand von Berichten, um langfristige Risikomuster hervorzuheben.
Nächste Schritte für Professoren
Verbinden Sie ein Demo-Repository, laden Sie Studierende ein und führen Sie Ihren ersten Scan durch. Nutzen Sie Kernlektionen wie Rauschreduzierung, Erreichbarkeit, Laufzeitschutz und AutoFix und fügen Sie für Capstone-Projekte erweiterte Module wie PR-Gating oder IDE-Plugins hinzu.
Mit Aikido erwerben die Schüler praktische, berufsrelevante Sicherheitsfertigkeiten – kostenlos und ohne zusätzlichen Aufwand.
Sichern Sie Ihre Software jetzt.
.avif)
