Vielen Dank für die Zusendung Ihrer Anfrage! Eines unserer Teammitglieder wird Sie in Kürze kontaktieren.
Vielen Dank, dass Sie Ihre Buchung abgeschickt haben! Eines unserer Teammitglieder wird Sie in Kürze kontaktieren.
Schulungsübersicht
1. Konzepte und Umfang der statischen Codeanalyse
- Definitionen: statische Analyse, SAST, Regelsätze und Schweregrade
- Einsatzbereiche der statischen Analyse im sicheren SDLC und Risikodeckung
- Integration von SonarQube in Sicherheitskontrollen und Entwickler-Workflows
2. Übersicht über SonarQube: Funktionen und Architektur
- Kerndienste, Datenbank und Scanner-Komponenten
- Quality Gates, Quality Profiles und bewährte Praktiken für Quality Gates
- Sicherheitsrelevante Features: Schwachstellen, SAST-Regeln und CWE-Mapping
3. Navigation und Nutzung der SonarQube Server-Benutzeroberfläche
- Rundgang durch die Server-Oberfläche: Projekte, Probleme, Regeln, Metriken und Governance-Ansichten
- Auswertung von Problemdetails, Nachverfolgung und Empfehlungen zur Behebung
- Generierung und Exportoptionen für Berichte
4. SonarScanner-Konfiguration mit Build-Tools
- Einrichtung von SonarScanner für Maven, Gradle, Ant und MSBuild
- Bewährte Praktiken für Scanner-Eigenschaften, Ausschlüsse und Multi-Module-Projekte
- Erstellung erforderlicher Testdaten und Abdeckungsberichte für genaue Analysen
5. Integration mit Azure DevOps
- Konfiguration von SonarQube-Serviceverbindungen in Azure DevOps
- Einfügen von SonarQube-Aufgaben in Azure Pipelines und Pull-Request-Anmerkungen
- Import von Azure Repos in SonarQube und Automatisierung der Analysen
6. Projekt Konfiguration und Third-Party-Analysatoren
- Projekt-Level Quality Profiles und Regelauswahl für Java und Angular
- Arbeit mit Third-Party-Analysatoren und Plugin-Lebenszyklus
- Definition von Analyseparametern und Parameterererbung
7. Rollen, Verantwortlichkeiten und Überprüfung der sicheren Entwicklungsmethodik
- Trennung der Rollen: Entwickler, Prüfer, DevOps, Sicherheitsverantwortliche
- Erstellung einer Rollen- und Verantwortlichkeitsmatrix für CI/CD-Prozesse
- Überprüfung und Empfehlung des Prozesses für eine bestehende sichere Entwicklungsmethodik
8. Erweitert: Regeln hinzufügen, Optimieren und globale Sicherheitsfunktionen verbessern
- Nutzung der SonarQube Web-API zum Hinzufügen und Verwalten eigener Regeln
- Anpassen von Quality Gates und automatisierter Policy-Durchsetzung
- Härtung der SonarQube-Server-Sicherheit und bewährte Praktiken zur Zugriffskontrolle
9. Praktische Übungseinheiten (Angewandt)
- Labor A: Konfiguration von SonarScanner für 5 Java-Repositories (Quarkus, falls zutreffend) und Analyse der Ergebnisse
- Labor B: Konfiguration der Sonar-Analyse für ein Angular-Frontend und Auswertung der Befunde
- Labor C: Vollständiges Pipeline-Labor – Integration von SonarQube in eine Azure DevOps-Pipeline und Aktivierung von PR-Anmerkungen
10. Tests, Fehlerbehebung und Berichterstellung
- Strategien zur Generierung von Testdaten und Messung der Abdeckung
- Häufige Probleme und Fehlerbehebung bei Scanner-, Pipeline- und Berechtigungsfehlern
- Auswertung und Präsentation von SonarQube-Berichten für technische und nicht-technische Stakeholder
11. Best Practices und Empfehlungen
- Auswahl der Regelsätze und Strategien zur inkrementellen Durchsetzung
- Workflow-Empfehlungen für Entwickler, Prüfer und Build-Pipelines
- Roadmap zum Skalieren von SonarQube in Unternehmensumgebungen
Zusammenfassung und nächste Schritte
Voraussetzungen
- Verständnis des Softwareentwicklungslebenszyklus
- Erfahrung mit Quellcodeverwaltung und grundlegenden CI/CD-Konzepten
- Kenntnisse in Java- oder Angular-Entwicklungsumgebungen
Zielgruppe
- Entwickler (Java / Quarkus / Angular)
- DevOps- und CI/CD-Ingenieure
- Sicherheitsingenieure und Application-Security-Prüfer
21 Stunden
Erfahrungsberichte (1)
Spannend und praktische Übungen.
Balavignesh Elumalai - Scottish Power
Kurs - SonarQube for DevOps
Maschinelle Übersetzung
