Temario del curso
1. Conceptos y alcance del análisis estático de código
- Definiciones: análisis estático, SAST, categorías de reglas y severidad.
- Alcance del análisis estático en un SDLC seguro y cobertura de riesgos.
- Cómo SonarQube se integra en los controles de seguridad y los flujos de trabajo de los desarrolladores.
2. Visión general de SonarQube: características y arquitectura
- Servicios principales, base de datos y componentes del analizador (scanner).
- Portales de calidad (Quality Gates), perfiles de calidad y mejores prácticas para los portales de calidad.
- Características relacionadas con la seguridad: vulnerabilidades, reglas SAST y mapeo de CWE.
3. Navegación y uso de la interfaz de usuario del servidor SonarQube
- Tour por la interfaz del servidor: proyectos, problemas, reglas, medidas y vistas de gobernanza.
- Interpretación de las páginas de problemas, trazabilidad y orientación sobre cómo remediar los problemas.
- Generación de informes y opciones de exportación.
4. Configuración de SonarScanner con herramientas de compilación
- Configuración de SonarScanner para Maven, Gradle, Ant y MSBuild.
- Mejores prácticas para las propiedades del analizador, exclusiones y proyectos multi-módulo.
- Generación de los datos de prueba y los informes de cobertura necesarios para un análisis preciso.
5. Integración con Azure DevOps
- Configuración de las conexiones de servicio de SonarQube en Azure DevOps.
- Agregado de tareas de SonarQube a las canalizaciones (Pipelines) de Azure y decoración de los pull requests (PR).
- Importación de Azure Repos en SonarQube y automatización de los análisis.
6. Configuración del proyecto y analizadores de terceros
- Perfiles de calidad a nivel de proyecto y selección de reglas para Java y Angular.
- Trabajo con analizadores de terceros y ciclo de vida de los complementos.
- Definición de parámetros de análisis y herencia de parámetros.
7. Roles, responsabilidades y revisión de la metodología de desarrollo seguro
- Segregación de roles: desarrolladores, revisores, DevOps y responsables de la seguridad.
- Construcción de una matriz de roles y responsabilidades para los procesos de CI/CD.
- Proceso de revisión y recomendaciones para una metodología de desarrollo seguro existente.
8. Avanzado: adición de reglas, ajuste y mejora de las características globales de seguridad
- Uso de la API web de SonarQube para agregar y gestionar reglas personalizadas.
- Ajuste de los portales de calidad (Quality Gates) y aplicación automatizada de políticas.
- Acondicionamiento de la seguridad del servidor SonarQube y mejores prácticas para el control de acceso.
9. Sesiones de laboratorio práctico (aplicado)
- Laboratorio A: Configurar SonarScanner para 5 repositorios Java (Quarkus cuando sea aplicable) y analizar los resultados.
- Laboratorio B: Configurar el análisis de Sonar para 1 aplicación front-end en Angular e interpretar los hallazgos.
- Laboratorio C: Laboratorio de canalización completo: integrar SonarQube con una canalización de Azure DevOps y habilitar la decoración de pull requests.
10. Pruebas, resolución de problemas e interpretación de informes
- Estrategias para la generación de datos de prueba y medición de la cobertura.
- Errores comunes y solución de problemas del analizador, la canalización y los permisos.
- Cómo leer y presentar informes de SonarQube a partes interesadas técnicas y no técnicas.
11. Mejores prácticas y recomendaciones
- Selección del conjunto de reglas y estrategias de aplicación incremental.
- Recomendaciones de flujo de trabajo para desarrolladores, revisores y canalizaciones de compilación.
- Hojas de ruta para escalar SonarQube en entornos empresariales.
Resumen y próximos pasos
Requerimientos
- Conocimiento del ciclo de vida del desarrollo de software.
- Experiencia con control de versiones y conceptos básicos de CI/CD.
- Conocimiento de entornos de desarrollo en Java o Angular.
Público objetivo
- Desarrolladores (Java / Quarkus / Angular).
- Ingenieros de DevOps y CI/CD.
- Ingenieros de seguridad y revisores de seguridad de aplicaciones.
Testimonios (1)
Interactiva y práctica hands-on.
Balavignesh Elumalai - Scottish Power
Curso - SonarQube for DevOps
Traducción Automática