SonarQube voor Veilige SDLC en Azure DevOps Training Cursus

1. Concepten en Toepassingsgebied van Statische Code-analyse

• Definities: statische analyse, SAST, regelcategorieën en ernst
• Toepassingsgebied van statische analyse in een veilige SDLC en risicodekking
• Hoe SonarQube past in beveiligingscontroles en ontwikkelaarswerkstromen

2. Overzicht van SonarQube: Functies en Architectuur

• Kernservices, database en scannercomponenten
• Kwaliteitspoorten, Kwaliteitsprofielen en beste praktijken voor Kwaliteitspoorten
• Beveiligingsgerelateerde functies: kwetsbaarheden, SAST-regels en CWE-mapping

3. Navigatie en Gebruik van de SonarQube Server UI

• Server UI-toer: projecten, problemen, regels, metingen en governance-views
• Interpretatie van probleempagina's, traceerbaarheid en richtlijnen voor verhelping
• Rapportgeneratie en exportopties

4. Configuratie van SonarScanner met Bouwtools

• Instellen van SonarScanner voor Maven, Gradle, Ant en MSBuild
• Beste praktijken voor scaneer-eigenschappen, uitsluitingen en multi-moduleprojecten
• Genereren van noodzakelijke testgegevens en dekkingrapporten voor nauwkeurige analyse

5. Integratie met Azure DevOps

• Configureren van SonarQube serviceverbindingen in Azure DevOps
• SonarQube-taak toevoegen aan Azure Pipelines en PR-decoratie
• Azure Repos importeren in SonarQube en automatiseren van analyses

6. Projectconfiguratie en Derde-parts Analyzers

• Projectniveau Kwaliteitsprofielen en regelselectie voor Java en Angular
• Werkzaamheid met derde-parts analyzers en pluginlevenstijd
• Definiëren van analyseparameters en parametererfelijkheid

7. Rollen, Verantwoordelijkheden en Beoordeling van Veilige Ontwikkelingsmethodologie

• Scheiding van rollen: ontwikkelaars, beoordelaars, DevOps, beveiligingsverantwoordelijken
• Constructie van een matrix van rollen en verantwoordelijkheden voor CI/CD-processen
• Beoordelings- en aanbevelingsproces voor een bestaande veilige ontwikkelingsmethodologie

8. Geavanceerd: Toevoegen van Regels, Afstellen en Versterken van Globale Beveiligingsfuncties

• Gebruik van de SonarQube Web API om aangepaste regels toe te voegen en te beheren
• Aanpassen van Kwaliteitspoorten en automatische beleidsuitvoering
• Versterken van de beveiliging van de SonarQube-server en beste praktijken voor toegangskontrole

9. Praktijk Lab Sessies (Toegepast)

• Lab A: Configureer SonarScanner voor 5 Java-repositorys (Quarkus waar van toepassing) en analyseer de resultaten
• Lab B: Configureer Sonar-analyse voor 1 Angular front-end en interpreteer de bevindingen
• Lab C: Volledige pipeline-lab—integreer SonarQube in een Azure DevOps-pipeline en activeer PR-decoratie

10. Testen, Probleemoplossing en Rapportinterpretatie

• Strategieën voor het genereren van testgegevens en dekkingmeting
• Veelvoorkomende problemen en troubleshooting van scanner-, pipeline- en toestemmingsfouten
• Hoe te lezen en te presenteren van SonarQube-rapporten aan technische en niet-technische belanghebbenden

11. Beste Praktijken en Aanbevelingen

• Selectie van regelsets en incrementele invoeringsstrategieën
• Aanbevelingen voor werkstromen voor ontwikkelaars, beoordelaars en bouwpijplijnen
• Roadmap voor het schalen van SonarQube in ondernemingsomgevingen

Samenvatting en Volgende Stappen