Tack för att du skickade din fråga! En av våra teammedlemmar kontaktar dig snart.
Tack för att du skickade din bokning! En av våra teammedlemmar kontaktar dig snart.
Kursplan
1. Begrepp och Omfång av Statisk Kodanalys
- Definitioner: statisk analys, SAST, regelkategorier och allvarlighetsgrad
- Statisk analysens omfång i säkerhetsfokuserad SDLC och risktäckning
- Hur SonarQube passar in i säkerhetskontroller och utvecklarflöden
2. Översikt över SonarQube: Funktioner och Arkitektur
- Kärntjänster, databas och scannerkomponenter
- Kvalitetsgränser, Kvalitetsprofiler och bästa praxis för Kvalitetsgränser
- Säkerhetsrelaterade funktioner: sårbarheter, SAST-regler och CWE-kartläggning
3. Navigering och Användning av SonarQube Server UI
- Server UI-tour: projekt, problem, regler, mått och styrningsvyer
- Tolkning av problemssidor, spårbarhet och åtgärdsanvisningar
- Rapportgenerering och exportalternativ
4. Konfiguration av SonarScanner med Byggverktyg
- Inställning av SonarScanner för Maven, Gradle, Ant och MSBuild
- Bästa praxis för scannerinställningar, exkluderingar och flerfunktionella projekt
- Generering av nödvändig testdata och täckningsrapporter för noggrann analys
5. Integration med Azure DevOps
- Konfiguration av SonarQube-tjänstanslutningar i Azure DevOps
- Lägga till SonarQube-uppgifter i Azure Pipelines och PR-dekoration
- Importera Azure Repos till SonarQube och automatisera analyser
6. Projektkonfiguration och Tredjepartsanalysverktyg
- Projektnivåens Kvalitetsprofiler och regeluppsättning för Java och Angular
- Arbeta med tredjepartsanalysverktyg och plug-in-livscykel
- Definiera analysparametrar och parameterärvdhet
7. Roller, Ansvar och Översyn av Säker Utvecklingsmetodologi
- Separering av roller: utvecklare, granskare, DevOps, säkerhetsansvariga
- Konstruera en roller & ansvarsmatris för CI/CD-processer
- Översyn och rekommendationsprocess för en befintlig säker utvecklingsmetodologi
8. Avancerat: Lägga Till Regler, Justering och Förbättring av Globala Säkerhetsfunktioner
- Användning av SonarQube Web API för att lägga till och hantera anpassade regler
- Justering av Kvalitetsgränser och automatiserad policytillämpning
- Hårdning av SonarQube-servrarsäkerhet och bästa praxis för åtkomstkontroll
9. Praktiska Labbsessioner (Tillämpade)
- Lab A: Konfigurera SonarScanner för 5 Java-repository (Quarkus där det är tillämpligt) och analysera resultat
- Lab B: Konfigurera Sonar-analys för 1 Angular front-end och tolka fynd
- Lab C: Fullständig pipelinelab – integrera SonarQube med en Azure DevOps-pipeline och aktivera PR-dekoration
10. Testning, Felsökning och Rapporttolkning
- Strategier för testdatagenerering och täckningsmätning
- Vanliga problem och felsökning av scanner-, pipeline- och behörighetsfel
- Hur man läser och presenterar SonarQube-rapporter för tekniska och icke-tekniska intressenter
11. Bästa Praxis och Rekommendationer
- Val av regeluppsättningar och inkrementell genomföringsstrategi
- Flödesrekommendationer för utvecklare, granskare och byggpipelines
- Vägledning för skalning av SonarQube i företagsmiljöer
Sammanfattning och Nästa Steg
Krav
- Förståelse för mjukvaruutvecklingslivscykeln
- Erfarenhet av versionshantering och grundläggande CI/CD-koncept
- Kännedom om Java eller Angular utvecklingsmiljöer
Målgrupp
- Utvecklare (Java / Quarkus / Angular)
- DevOps- och CI/CD-ingenjörer
- Säkerhetsingenjörer och applikationssäkerhetsgranskare
21 timmar
Vittnesmål (1)
Engagerande och praktiska övningar.
Balavignesh Elumalai - Scottish Power
Kurs - SonarQube for DevOps
Maskintolkat
