Vielen Dank für die Zusendung Ihrer Anfrage! Eines unserer Teammitglieder wird Sie in Kürze kontaktieren.
Vielen Dank, dass Sie Ihre Buchung abgeschickt haben! Eines unserer Teammitglieder wird Sie in Kürze kontaktieren.
Schulungsübersicht
1. Konzepte und Umfang der statischen Codeanalyse
- Definitionen: Statische Analyse, SAST, Regelsätze und Schweregrade
- Umfang der statischen Analyse im sicheren Software-Lebenszyklus und Risikodeckung
- Einbettung von SonarQube in Sicherheitskontrollen und Entwickler-Workflows
2. Überblick über SonarQube: Funktionen und Architektur
- Kerndienste, Datenbank und Scanner-Komponenten
- Qualitätsschwellen (Quality Gates), Qualitätsprofile und Best Practices für Qualitätsschwellen
- Sicherheitsrelevante Funktionen: Schwachstellen, SAST-Regeln und CWE-Mapping
3. Navigation und Nutzung der SonarQube-Server-Benutzeroberfläche
- Rundgang durch die Server-Oberfläche: Projekte, Probleme, Regeln, Massnahmen und Governance-Ansichten
- Interpretation von Problemseiten, Nachverfolgbarkeit und Korrekturhinweisen
- Erstellung und Exportoptionen für Berichte
4. Konfiguration von SonarScanner mit Build-Tools
- Einrichtung von SonarScanner für Maven, Gradle, Ant und MSBuild
- Best Practices für Scanner-Eigenschaften, Ausschlüsse und Multi-Module-Projekte
- Erstellung notwendiger Testdaten und Abdeckungsberichte für genaue Analysen
5. Integration mit Azure DevOps
- Konfiguration von SonarQube-Serviceverbindungen in Azure DevOps
- Hinzufügen von SonarQube-Aufgaben zu Azure Pipelines und Pull Request-Verzierung (PR Decoration)
- Import von Azure Repos in SonarQube und Automatisierung der Analysen
6. Projektkonfiguration und Third-Party-Analysatoren
- Qualitätsprofile und Regelauswahl auf Projektebene für Java und Angular
- Umgang mit Third-Party-Analysatoren und Plugin-Lebenszyklus
- Definition von Analyseparametern und Parameter-Erbmechanismen
7. Rollen, Verantwortlichkeiten und Überprüfung der sicheren Entwicklungs Methodik
- Trennung der Rollen: Entwickler, Reviewer, DevOps, Sicherheitsverantwortliche
- Erstellung einer Matrix für Rollen und Verantwortlichkeiten in CI/CD-Prozessen
- Bewertungs- und Empfehlungsprozess für eine bestehende sichere Entwicklungs Methodik
8. Fortgeschritten: Regeln hinzufügen, Feinabstimmung und Erweiterung globaler Sicherheitsfunktionen
- Nutzung der SonarQube Web API zum Hinzufügen und Verwalten benutzerdefinierter Regeln
- Anpassung von Qualitätsschwellen (Quality Gates) und automatisierte Durchsetzung von Richtlinien
- Härtung der SonarQube-Server-Sicherheit und Best Practices für Zugriffssteuerung
9. Praxis-Laborübungen (Angewandt)
- Labor A: Konfiguration von SonarScanner für 5 Java-Repositories (Quarkus, falls zutreffend) und Analyse der Ergebnisse
- Labor B: Konfiguration der Sonar-Analyse für ein Angular-Frontend und Interpretation der Erkenntnisse
- Labor C: Vollständiges Pipeline-Labor – Integration von SonarQube in eine Azure DevOps-Pipeline und Aktivierung der Pull Request-Verzierung
10. Tests, Fehlerbehebung und Berichterstellung
- Strategien zur Generierung von Testdaten und Messung der Codeabdeckung
- Häufige Probleme und Fehlerbehebung bei Scanner-, Pipeline- und Berechtigungsfehlern
- Wie man SonarQube-Berichte für technische und nicht-technische Stakeholder liest und präsentiert
11. Best Practices und Empfehlungen
- Auswahl der Regelsätze und Strategien für die inkrementelle Durchsetzung
- Workflow-Empfehlungen für Entwickler, Reviewer und Build-Pipelines
- Roadmap zum Skalieren von SonarQube in Unternehmensumgebungen
Zusammenfassung und nächste Schritte
Voraussetzungen
- Verständnis des Software-Lebenszyklusmanagements
- Erfahrung mit Versionskontrollsystemen und grundlegenden CI/CD-Konzepten
- Kenntnisse in Java- oder Angular-Entwicklungsumgebungen
Zielgruppe
- Entwickler (Java / Quarkus / Angular)
- DevOps- und CI/CD-Ingenieure
- Sicherheitsingenieure und Experten für Anwendungssicherheit
21 Stunden
Erfahrungsberichte (1)
Spannend und praktische Übungen.
Balavignesh Elumalai - Scottish Power
Kurs - SonarQube for DevOps
Maschinelle Übersetzung