Köszönjük, hogy elküldte érdeklődését! Csapatunk egyik tagja hamarosan felveszi Önnel a kapcsolatot.
Köszönjük, hogy elküldte foglalását! Csapatunk egyik tagja hamarosan felveszi Önnel a kapcsolatot.
Kurzusleírás
1. A statikus kód-ellenőrzés fogalmai és hatókör
- Meghatározások: statikus elemzés, SAST, szabálykategóriák és súlyosságok
- A statikus elemzés hatóköre a biztonságos SDLC-ben és a kockázatkezelésben
- Hogyan illeszkedik be a SonarQube a biztonsági vezérlőkbe és a fejlesztői munkafolyamatokba
2. A SonarQube áttekintése: funkciók és architektúra
- Alapvető szolgáltatások, adatbázis és elemző komponensek
- Mutatóporták, minőségi profilok és ajánlott eljárások a Mutatóportákkal kapcsolatban
- Biztonsággal kapcsolatos funkciók: biztonsági rések, SAST szabályok és CWE leképezés
3. A SonarQube kiszolgálói felhasználói felület használata
- Kiszolgáló felhasználói felület bemutatása: projektek, problémák, szabályok, mérőszámok és irányítás nézetek
- Tudatosan értelmezni a problémaoldó oldalakat, nyomon követést és megoldásiránymutatást
- Jelentések generálása és exportálási lehetőségek
4. SonarScanner konfiguráció build eszközökkel
- SonarScanner beállítása Maven, Gradle, Ant és MSBuild számára
- Az elemző tulajdonságainak, kizárásainak és többszempontú projektek ajánlott eljárásai
- Tesztadatok generálása és lefedettségi jelentések készítése pontos elemzéshez
5. Integráció az Azure DevOps-sal
- SonarQube szolgáltatás kapcsolatainak beállítása az Azure DevOps-ban
- SonarQube feladatok hozzáadása az Azure Pipelines-hoz és a PR-dékorálás engedélyezése
- Az Azure Repos importálása a SonarQube-ba és az elemzések automatizálása
6. Projekt konfiguráció és harmadik féltől származó elemzők
- A projekt-szintű minőségi profilok és szabálykiválasztás a Java és Angular esetén
- Harmadik féltől származó elemzők használata és a beépülő modul élettartamának kezelése
- Elemzési paraméterek meg határozása és öröklődéseik
7. Szerepkörök, feladatok és biztonságos fejlesztési módszertan áttekintése
- Szerepköralakítás: fejlesztők, ellenőrzők, DevOps, biztonsági tulajdonosok
- Egy szerepkörök és feladatok mátrixának létrehozása az CI/CD folyamatokhoz
- Egy meglévő biztonságos fejlesztési módszer taninak átvizsgálása és ajánlásainak kidolgozása
8. Haladó: szabályok hozzáadása, finomítása és a globális biztonsági funkciók javítása
- A SonarQube Web API használata egyedi szabályok hozzáadásához és kezeléséhez
- Mutatóporták és automatikus házirend-végrehajtás beállítása
- A SonarQube kiszolgáló biztonságának erősítése és a hozzáférés-vezérlés ajánlott eljárásai
9. Gyakorlati laborok (alkalmazás)
- Labor A: SonarScanner beállítása 5 Java kódtár számára (Quarkus esetén alkalmazandó) és az eredmények elemzése
- Labor B: Sonar elemzés beállítása 1 Angular front-end számára és a megállapítások értelmezése
- Labor C: Egy teljes folyamat labor—SonarQube integrálása az Azure DevOps folyamattal és a PR-dékorálás engedélyezése
10. Tesztelés, hibaelhárítás és jelentés értelmezése
- Tesztadatok generálási és lefedettség mérőszámok sztratégiái
- Gyakori problémák és hibaelhárítás az elemző, folyamat és engedélvezetési hibák esetén
- Hogyan olvassuk el és bemutassuk a SonarQube jelentéseit technikai és nem technikai érdekelt személyeknek
11. Ajánlott eljárások és javaslatok
- Szabályhalmaz kiválasztása és inkrementális kényszerítési stratégiai
- A fejlesztők, ellenőrzők és build folyamatok munkafolyamatainak ajánlott eljárásai
- Tervezés a SonarQube vállalati környezetben történő skálázására
Összefoglaló és következő lépések
Követelmények
- Egyértelmű megértés a szoftverfejlesztési ciklusáról
- Tapasztalat forráskód-kezeléssel és alapvető CI/CD fogalmakkal
- Jellemzően Java vagy Angular fejlesztési környezetek ismerete
Célcsoport
- Fejlesztők (Java / Quarkus / Angular)
- DevOps és CI/CD mérnökök
- Biztonságimérnökök és alkalmazásszintű biztonsági felülvizsgálók
21 Órák
Vélemények (1)
Érdeklődő és gyakorlati gyakorlat.
Balavignesh Elumalai - Scottish Power
Kurzus - SonarQube for DevOps
Gépi fordítás
