Cursuri de pregatire SonarQube pentru SDLC Securizat și Azure DevOps

1. Concepte și Domeniul de Aplicare al Analizei Statice a Codului

• Definiții: analiză statică, SAST, categorii de reguli și severitate
• Domeniul de aplicare al analizei statice în SDLC securizat și acoperirea riscurilor
• Cum se integrează SonarQube în controalele de securitate și fluxurile de lucru ale dezvoltatorilor

2. Prezentare Generală SonarQube: Caracteristici și Arhitectură

• Servicii de bază, bază de date și componente de scanare
• Porți de Calitate, Profile de Calitate și cele mai bune practici pentru Porți de Calitate
• Caracteristici legate de securitate: vulnerabilități, reguli SAST și mapare CWE

3. Navigare și Utilizare a Interfeței de Utilizator SonarQube Server

• Tur al interfeței de utilizator a serverului: proiecte, probleme, reguli, măsurători și vizualizări de guvernanță
• Interpretarea paginilor de probleme, trasabilitate și îndrumări de remediere
• Generarea și exportul rapoartelor

4. Configurarea SonarScanner cu Instrumente de Construcție

• Configurarea SonarScanner pentru Maven, Gradle, Ant și MSBuild
• Cele mai bune practici pentru proprietățile de scanare, excluderi și proiecte multi-modul
• Generarea datelor de test necesare și rapoarte de acoperire pentru o analiză precisă

5. Integrare cu Azure DevOps

• Configurarea conexiunilor de serviciu SonarQube în Azure DevOps
• Adăugarea sarcinilor SonarQube în Azure Pipelines și decorarea PR
• Importul Azure Repos în SonarQube și automatizarea analizelor

6. Configurarea Proiectului și Analizoare Terțe

• Profile de Calitate la nivel de proiect și selecția regulilor pentru Java și Angular
• Lucrul cu analizoare terțe și ciclul de viață al plugin-urilor
• Definirea parametrilor de analiză și moștenirea parametrilor

7. Roluri, Responsabilități și Revizuirea Metodologiei de Dezvoltare Securizată

• Separarea rolurilor: dezvoltatori, evaluatori, DevOps, proprietari de securitate
• Construirea unei matrice de roluri și responsabilități pentru procesele CI/CD
• Procesul de revizuire și recomandare pentru o metodologie existentă de dezvoltare securizată

8. Avansat: Adăugarea de Reguli, Ajustare și Îmbunătățirea Caracteristicilor Globale de Securitate

• Utilizarea API-ului Web SonarQube pentru adăugarea și gestionarea regulilor personalizate
• Ajustarea Porților de Calitate și aplicarea automată a politicilor
• Întărirea securității serverului SonarQube și cele mai bune practici de control al accesului

9. Sesiuni Practice de Laborator (Aplicate)

• Laborator A: Configurați SonarScanner pentru 5 depozite Java (Quarkus unde este aplicabil) și analizați rezultatele
• Laborator B: Configurați analiza Sonar pentru 1 front-end Angular și interpretați constatările
• Laborator C: Laborator complet de pipeline—integrați SonarQube cu un pipeline Azure DevOps și activați decorarea PR

10. Testare, Depanare și Interpretare Rapoarte

• Strategii pentru generarea datelor de test și măsurarea acoperirii
• Probleme comune și depanarea erorilor de scanare, pipeline și permisiuni
• Cum să citiți și să prezentați rapoarte SonarQube către părți interesate tehnice și non-tehnice

11. Cele mai bune Practici și Recomandări

• Selecția seturilor de reguli și strategii de aplicare incrementală
• Recomandări de flux de lucru pentru dezvoltatori, evaluatori și pipeline-uri de construcție
• Plan de acțiune pentru scalarea SonarQube în medii enterprise

Rezumat și Pași Următori