Vielen Dank für die Zusendung Ihrer Anfrage! Eines unserer Teammitglieder wird Sie in Kürze kontaktieren.
Vielen Dank, dass Sie Ihre Buchung abgeschickt haben! Eines unserer Teammitglieder wird Sie in Kürze kontaktieren.
Schulungsübersicht
1. Konzepte und Umfang der statischen Codeanalyse
- Definitionen: Statische Analyse, SAST, Regelkategorien und -schweregrad
- Bereich der statischen Analyse im sicheren SDLC und Risikodeckung
- Wie SonarQube in die Sicherheitskontrollen und Entwicklerworkflows passt
2. Überblick über SonarQube: Funktionen und Architektur
- Kernservices, Datenbank und Scannerkomponenten
- Quality Gates, Quality Profiles und beste Praktiken für Quality Gates
- Sicherheitsbezogene Funktionen: Schwachstellen, SAST-Regeln und CWE-Zuordnung
3. Navigation und Nutzung der SonarQube Server-Benutzeroberfläche
- Tour durch die Server-Benutzeroberfläche: Projekte, Probleme, Regeln, Messwerte und Governanceansichten
- Interpretation von Problemseiten, Traceability und Remediation Guidance
- Berichtserstellung und Exportoptionen
4. Konfiguration von SonarScanner mit Build-Tools
- Einrichtung des SonarScanners für Maven, Gradle, Ant und MSBuild
- Beste Praktiken für Scanner-Eigenschaften, Exclusionen und mehrmodulige Projekte
- Generierung notwendiger Testdaten und Abdeckungsberichte für eine genaue Analyse
5. Integration mit Azure DevOps
- Konfiguration von SonarQube-Serviceverbindungen in Azure DevOps
- Hinzufügen von SonarQube-Aufgaben zu Azure Pipelines und PR-Dekoration
- Importieren von Azure Repos in SonarQube und Automatisierung der Analysen
6. Projektkonfiguration und Drittanbieter-Analyser
- Projektspezifische Quality Profiles und Regelauswahl für Java und Angular
- Arbeiten mit Drittanbieter-Analysern und Plugin-Lifecycle
- Definieren von Analyseparametern und Parametervererbung
7. Rollen, Verantwortlichkeiten und Überprüfung der sicheren Entwicklungsmethodologie
- Rollenabgrenzung: Entwickler, Rezensenten, DevOps, Sicherheitsverantwortliche
- Aufstellen einer Rollen- und Verantwortlichkeitsmatrix für CI/CD-Prozesse
- Überprüfung und Vorgangsprozess für eine bestehende sichere Entwicklungsmethodologie
8. Fortgeschritten: Hinzufügen von Regeln, Anpassung und Erweiterung globaler Sicherheitsfunktionen
- Verwendung der SonarQube Web API zum Hinzufügen und Verwalten benutzerdefinierter Regeln
- Anpassen von Quality Gates und automatisierte Policy-Enforcement
- Sicherheitsverstärkung des SonarQube-Servers und beste Praktiken für Zugriffskontrolle
9. Hands-on Lab Sessions (Anwendungen)
- Lab A: Konfigurieren Sie den SonarScanner für 5 Java-Repositories (wo sinnvoll Quarkus) und analysieren Sie die Ergebnisse
- Lab B: Konfigurieren Sie die Sonar-Analyse für ein Angular-Frontend und interpretieren Sie die Erkenntnisse
- Lab C: Vollständiges Pipelinelab—integrieren Sie SonarQube in eine Azure DevOps-Pipeline und aktivieren Sie PR-Dekoration
10. Testen, Fehlersuche und Berichtsauswertung
- Strategien für die Generierung von Testdaten und Abdeckungsmessung
- Häufige Probleme und Fehlersuche bei Scanner-, Pipelines- und Berechtigungsfehlern
- Wie man SonarQube-Berichte für technische und nicht-technische Stakeholder liest und präsentiert
11. Best Practices und Empfehlungen
- Auswahl von Regelsets und inkrementelle Enforcement-Strategien
- Workflow-Empfehlungen für Entwickler, Rezensenten und Buildpipelines
- Roadmap zur Skalierung von SonarQube in Unternehmensumgebungen
Zusammenfassung und Nächste Schritte
Voraussetzungen
- Eine Grundkenntnis des Softwareentwicklungslebenszyklus (SDLC)
- Erfahrung mit Quellcodeverwaltung und grundlegenden CI/CD-Konzepten
- Vertrautheit mit Java- oder Angular-Entwicklungsumgebungen
Zielgruppe
- Entwickler (Java / Quarkus / Angular)
- DevOps- und CI/CD-Ingenieure
- Sicherheitsingenieure und Anwendungssicherheitsprüfer
21 Stunden
Erfahrungsberichte (1)
Engagierend und praktisches Training.
Balavignesh Elumalai - Scottish Power
Kurs - SonarQube for DevOps
Maschinelle Übersetzung
