Благодарим ви, че изпратихте вашето запитване! Един от членовете на нашия екип ще се свърже с вас скоро.
Благодарим ви, че направихте своята резервация! Един от членовете на нашия екип ще се свърже с вас скоро.
План на курса
1. Концепции и обхват на статичния анализ на кода
- Дефиниции: статичен анализ, SAST, категории на правила и тежест
- Обхватът на статичния анализ в сигурен SDLC и покритие на рисковете
- Как SonarQube се интегрира в контроли за сигурност и работни процеси на разработчиците
2. Обзор на SonarQube: функции и архитектура
- Основни услуги, база данни и компоненти за сканеринг
- Качествени вратове, качествени профили и най-добри практики за качествени вратове
- Сигурностни функции: уязвимости, правила SAST и съответствие CWE
3. Навигация и използване на потребителския интерфейс на SonarQube сервера
- Обиколка по потребителския интерфейс: проекти, проблеми, правила, мери и виждания за управление
- Интерпретация на страници с проблеми, проследимост и насока за преодоляване на проблемите
- Генерация на доклади и опции за износ
4. Конфигуриране на SonarScanner с инструменти за сборка
- Подготовка на SonarScanner за Maven, Gradle, Ant и MSBuild
- Най-добри практики за свойства на сканеринга, изключения и проекти с много модули
- Генериране на необходимите данни за тестове и доклади за покритост за точен анализ
5. Интеграция с Azure DevOps
- Настройка на връзки към SonarQube в Azure DevOps
- Добавяне на задачи за SonarQube в Azure Pipelines и декорация на PR
- Импортиране на Azure Repos в SonarQube и автоматизирани анализи
6. Конфигуриране на проекти и трети страни анализатори
- Проектни качествени профили и избор на правила за Java и Angular
- Работа с анализатори от трети страни и жизнен циклус на плъгините
- Определяне на параметри за анализ и наследяване на параметри
7. Роли, отговорности и преглед на методологията за сигурна разработка
- Сегрегация на роли: разработчици, рецензенти, DevOps, собственици на сигурност
- Конструиране на матрица с роли и отговорности за процесите CI/CD
- Преглед и процес на препоръки за съществуваща методология за сигурна разработка
8. Напредък: добавяне на правила, настройка и подобряване на глобалните функции за сигурност
- Използване на Web API на SonarQube за добавяне и управление на персонализирани правила
- Корекция на качествени вратове и автоматизирано изпълнение на политики
- Закрепяване на сигурността на сервера SonarQube и най-добри практики за контрол на достъпа
9. Практични лаборатории (приложени)
- Лаборатория A: Настройка на SonarScanner за 5 Java репозитори (Quarkus, когато е уместно) и анализ на резултатите
- Лаборатория B: Настройка на анализа с Sonar за 1 Angular фронт-енд и интерпретация на намеренията
- Пълна лаборатория — интегриране на SonarQube в Azure DevOps конвейор и активиране на декорация за PR
10. Тестване, улесняване на грешки и интерпретация на докладите
- Стратегии за генериране на тестови данни и измерване на покритостта
- Често срещани проблеми и улесняване на сканерите, конвейорите и грешки в достъпа
- Как да четете и представяте докладите от SonarQube на технически и нетехнически заинтересовани страни
11. Най-добри практики и препоръки
- Избор на набори правила и стратегии за постепенно изпълнение
- Препоръки за работни процеси за разработчици, рецензенти и конвейорите за сборка
- План за развитие на SonarQube в предприемачски среди
Резюме и следващи стъпки
Изисквания
- Разбиране на жизнения циклус на разработка на софтуер
- Опит с контрол на източния код и основни концепции за CI/CD
- Познаване на околната среда за развитие в Java или Angular
Целева група
- Разработчици (Java / Quarkus / Angular)
- DevOps и CI/CD инженери
- Специалисти по сигурност и рецензенти на приложението за сигурност
21 часа
Отзиви от потребители (1)
Захващаващо и практично обучение.
Balavignesh Elumalai - Scottish Power
Курс - SonarQube for DevOps
Машинен превод
