Kontakt aufnehmen

Schulungsübersicht

1. Konzepte und Umfang der statischen Codeanalyse

  • Definitionen: Statische Analyse, SAST, Regelsätze und Schweregrade
  • Umfang der statischen Analyse im sicheren Software-Lebenszyklus und Risikodeckung
  • Einbettung von SonarQube in Sicherheitskontrollen und Entwickler-Workflows

2. Überblick über SonarQube: Funktionen und Architektur

  • Kerndienste, Datenbank und Scanner-Komponenten
  • Qualitätsschwellen (Quality Gates), Qualitätsprofile und Best Practices für Qualitätsschwellen
  • Sicherheitsrelevante Funktionen: Schwachstellen, SAST-Regeln und CWE-Mapping

3. Navigation und Nutzung der SonarQube-Server-Benutzeroberfläche

  • Rundgang durch die Server-Oberfläche: Projekte, Probleme, Regeln, Massnahmen und Governance-Ansichten
  • Interpretation von Problemseiten, Nachverfolgbarkeit und Korrekturhinweisen
  • Erstellung und Exportoptionen für Berichte

4. Konfiguration von SonarScanner mit Build-Tools

  • Einrichtung von SonarScanner für Maven, Gradle, Ant und MSBuild
  • Best Practices für Scanner-Eigenschaften, Ausschlüsse und Multi-Module-Projekte
  • Erstellung notwendiger Testdaten und Abdeckungsberichte für genaue Analysen

5. Integration mit Azure DevOps

  • Konfiguration von SonarQube-Serviceverbindungen in Azure DevOps
  • Hinzufügen von SonarQube-Aufgaben zu Azure Pipelines und Pull Request-Verzierung (PR Decoration)
  • Import von Azure Repos in SonarQube und Automatisierung der Analysen

6. Projektkonfiguration und Third-Party-Analysatoren

  • Qualitätsprofile und Regelauswahl auf Projektebene für Java und Angular
  • Umgang mit Third-Party-Analysatoren und Plugin-Lebenszyklus
  • Definition von Analyseparametern und Parameter-Erbmechanismen

7. Rollen, Verantwortlichkeiten und Überprüfung der sicheren Entwicklungs Methodik

  • Trennung der Rollen: Entwickler, Reviewer, DevOps, Sicherheitsverantwortliche
  • Erstellung einer Matrix für Rollen und Verantwortlichkeiten in CI/CD-Prozessen
  • Bewertungs- und Empfehlungsprozess für eine bestehende sichere Entwicklungs Methodik

8. Fortgeschritten: Regeln hinzufügen, Feinabstimmung und Erweiterung globaler Sicherheitsfunktionen

  • Nutzung der SonarQube Web API zum Hinzufügen und Verwalten benutzerdefinierter Regeln
  • Anpassung von Qualitätsschwellen (Quality Gates) und automatisierte Durchsetzung von Richtlinien
  • Härtung der SonarQube-Server-Sicherheit und Best Practices für Zugriffssteuerung

9. Praxis-Laborübungen (Angewandt)

  • Labor A: Konfiguration von SonarScanner für 5 Java-Repositories (Quarkus, falls zutreffend) und Analyse der Ergebnisse
  • Labor B: Konfiguration der Sonar-Analyse für ein Angular-Frontend und Interpretation der Erkenntnisse
  • Labor C: Vollständiges Pipeline-Labor – Integration von SonarQube in eine Azure DevOps-Pipeline und Aktivierung der Pull Request-Verzierung

10. Tests, Fehlerbehebung und Berichterstellung

  • Strategien zur Generierung von Testdaten und Messung der Codeabdeckung
  • Häufige Probleme und Fehlerbehebung bei Scanner-, Pipeline- und Berechtigungsfehlern
  • Wie man SonarQube-Berichte für technische und nicht-technische Stakeholder liest und präsentiert

11. Best Practices und Empfehlungen

  • Auswahl der Regelsätze und Strategien für die inkrementelle Durchsetzung
  • Workflow-Empfehlungen für Entwickler, Reviewer und Build-Pipelines
  • Roadmap zum Skalieren von SonarQube in Unternehmensumgebungen

Zusammenfassung und nächste Schritte

Voraussetzungen

  • Verständnis des Software-Lebenszyklusmanagements
  • Erfahrung mit Versionskontrollsystemen und grundlegenden CI/CD-Konzepten
  • Kenntnisse in Java- oder Angular-Entwicklungsumgebungen

Zielgruppe

  • Entwickler (Java / Quarkus / Angular)
  • DevOps- und CI/CD-Ingenieure
  • Sicherheitsingenieure und Experten für Anwendungssicherheit
 21 Stunden

Teilnehmerzahl


Preis je Teilnehmer (exkl. USt)

Erfahrungsberichte (1)

Kommende Kurse

Verwandte Kategorien