Děkujeme za vaši dotaz! Jeden z našich pracovníků vás brzy kontaktuje.
Děkujeme za rezervaci! Jeden z našich pracovníků vás brzy kontaktuje.
Návrh Školení
1. Koncepty a rozsah statické analýzy kódu
- Definice: statická analýza, SAST, kategorie pravidel a jejich závažnost
- Rozsah statické analýzy v bezpečném SDLC a pokrytí rizik
- Jak SonarQube zapadá do bezpečnostních kontrol a pracovních postupů vývojářů
2. Přehled SonarQube: funkce a architektura
- Základní služby, databáze a komponenty skeneru
- Kvalitní brány, kvalitní profily a osvědčené postupy pro kvalitní brány
- Bezpečnostní funkce: zranitelnosti, pravidla SAST a mapování CWE
3. Navigace a použití uživatelského rozhraní SonarQube serveru
- Tur po uživatelském rozhraní: projekty, problémy, pravidla, měřítka a zobrazení řízení
- Vykládání stránek s problémy, trasování a pokyny k napravění
- Generování a exportování zpráv
4. Konfigurace SonarScanneru s nástroji pro sestavení
- Nastavení SonarScanneru pro Maven, Gradle, Ant a MSBuild
- Osvědčené postupy pro vlastnosti skeneru, vyloučení a projekty s více moduly
- Generování potřebných testovacích dat a zpráv o pokrytí pro přesnou analýzu
5. Integrace s Azure DevOps
- Nastavení propojení služby SonarQube v Azure DevOps
- Přidávání úkolů SonarQube do Azure Pipelines a dekorace pull requestů (PR)
- Importování Azure Repos do SonarQube a automatizace analýz
6. Konfigurace projektu a třetí strany analyzátory
- Kvalitní profily na úrovni projektu a výběr pravidel pro Java a Angular
- Práce s analyzátory třetích stran a životním cyklem pluginů
- Definování parametrů analýzy a dědění parametrů
7. Role, odpovědnosti a revize bezpečné metody vývoje
- Rozdělení rolí: vývojáři, recenzenti, DevOps, majitelé bezpečnosti
- Vytváření matice rolí a odpovědností pro procesy CI/CD
- Revize a doporučovací proces pro stávající bezpečnou metodu vývoje
8. Pokročilé: přidání pravidel, ladění a zlepšení globálních bezpečnostních funkcí
- Použití Web API SonarQube pro přidávání a správu vlastních pravidel
- Upravování kvalitních bran a automatizovaného vynucování zásad
- Zpevnění bezpečnosti serveru SonarQube a osvědčené postupy pro řízení přístupu
9. Laboratorní sezení (aplikovaná)
- Laboratoř A: Konfigurace SonarScanneru pro 5 repozitářů Java (kde je to možné, Quarkus) a analýza výsledků
- Laboratoř B: Konfigurace analýzy Sonar pro 1 front-end Angular a interpretace zjištění
- Laboratoř C: Laboratoř plného pipeline—integrace SonarQube s Azure DevOps pipeline a povolení dekorace PR
10. Testování, odstraňování potíží a interpretace zpráv
- Strategie pro generování testovacích dat a měření pokrytí
- Běžné problémy a odstraňování potíží s skenerem, pipeline a přístupovými právy
- Jak číst a prezentovat zprávy SonarQube technickým i ne-technickým stakeholderům
11. Osvědčené postupy a doporučení
- Výběr souborů pravidel a strategie pro inkrementální vynucování
- Doporučení pracovních postupů pro vývojáře, recenzenty a build pipeline
- Plán pro škálování SonarQube ve firemních prostředích
Souhrn a další kroky
Požadavky
- Pochopení životního cyklu vývoje softwaru
- Zkušenosti s řízením zdrojového kódu a základními koncepty CI/CD
- Označení s vývojovými prostředími Java nebo Angular
Účastníci
- Vývojáři (Java / Quarkus / Angular)
- Inženýři DevOps a CI/CD
- Inženýři zabezpečení a kontroléři aplikace na zabezpečení
21 hodiny
Reference (1)
Zaujímavé a praxe orientované cvičení.
Balavignesh Elumalai - Scottish Power
Kurz - SonarQube for DevOps
Přeloženo strojem
