Temario del curso
1. Conceptos y alcance del análisis estático de código
- Definiciones: análisis estático, SAST, categorías de reglas y severidad
- Alcance del análisis estático en el SDLC seguro y cobertura de riesgos
- Cómo se integra SonarQube en los controles de seguridad y flujos de trabajo de los desarrolladores
2. Visión general de SonarQube: características y arquitectura
- Servicios principales, base de datos y componentes del escáner
- Gates de calidad (Quality Gates), perfiles de calidad y mejores prácticas para Quality Gates
- Características relacionadas con la seguridad: vulnerabilidades, reglas SAST y mapeo a CWE
3. Navegación y uso de la interfaz del servidor SonarQube
- Recorrido por la UI del servidor: proyectos, problemas, reglas, métricas y vistas de gobernanza
- Interpretación de las páginas de problemas, trazabilidad y guías de remediación
- Generación de informes y opciones de exportación
4. Configuración de SonarScanner con herramientas de compilación
- Configuración de SonarScanner para Maven, Gradle, Ant y MSBuild
- Mejores prácticas para propiedades del escáner, exclusiones y proyectos multi-módulo
- Generación de datos de prueba necesarios e informes de cobertura para un análisis preciso
5. Integración con Azure DevOps
- Configuración de las conexiones de servicio de SonarQube en Azure DevOps
- Agregado de tareas de SonarQube a Azure Pipelines y decoración de PR (Pull Requests)
- Importación de Azure Repos en SonarQube y automatización del análisis
6. Configuración del proyecto y analizadores de terceros
- Perfiles de calidad a nivel de proyecto y selección de reglas para Java y Angular
- Trabajo con analizadores de terceros y ciclo de vida de los complementos
- Definición de parámetros de análisis e herencia de parámetros
7. Roles, responsabilidades y revisión de la metodología de desarrollo seguro
- Segregación de roles: desarrolladores, revisores, DevOps y propietarios de seguridad
- Construcción de una matriz de roles y responsabilidades para procesos de CI/CD
- Proceso de revisión y recomendaciones para una metodología de desarrollo seguro existente
8. Avanzado: Adición de reglas, ajuste y mejora de las funciones globales de seguridad
- Uso de la API Web de SonarQube para agregar y gestionar reglas personalizadas
- Ajuste de Quality Gates e implementación automática de políticas
- Endurecimiento de la seguridad del servidor SonarQube y mejores prácticas de control de acceso
9. Sesiones de laboratorio práctico (aplicado)
- Laboratorio A: Configurar SonarScanner para 5 repositorios Java (Quarkus cuando sea aplicable) y analizar los resultados
- Laboratorio B: Configurar el análisis de Sonar para 1 front-end en Angular e interpretar los hallazgos
- Laboratorio C: Laboratorio de pipeline completo: integrar SonarQube con un pipeline de Azure DevOps y habilitar la decoración de PR
10. Pruebas, resolución de problemas e interpretación de informes
- Estrategias para la generación de datos de prueba y medición de cobertura
- Problemas comunes y resolución de errores del escáner, pipeline y permisos
- Cómo leer y presentar los informes de SonarQube a partes interesadas técnicas y no técnicas
11. Mejores prácticas y recomendaciones
- Selección de conjuntos de reglas y estrategias de implementación incremental
- Recomendaciones de flujo de trabajo para desarrolladores, revisores y pipelines de compilación
- Hojas de ruta para escalar SonarQube en entornos empresariales
Resumen y próximos pasos
Requerimientos
- Comprensión del ciclo de vida del desarrollo de software
- Experiencia con control de versiones y conceptos básicos de CI/CD
- Familiaridad con entornos de desarrollo en Java o Angular
Público objetivo
- Desarrolladores (Java / Quarkus / Angular)
- Ingenieros de DevOps y CI/CD
- Ingenieros de seguridad y revisores de seguridad de aplicaciones
Testimonios (1)
Interactiva y práctica hands-on.
Balavignesh Elumalai - Scottish Power
Curso - SonarQube for DevOps
Traducción Automática