Köszönjük, hogy elküldte érdeklődését! Csapatunk egyik tagja hamarosan felveszi Önnel a kapcsolatot.
Köszönjük, hogy elküldte foglalását! Csapatunk egyik tagja hamarosan felveszi Önnel a kapcsolatot.
Kurzusleírás
1. A statikus kódelemzés fogalmai és hatóköre
- Definíciók: statikus elemzés, SAST, szabálykategóriák és súlyosság
- A statikus elemzés hatóköre a biztonságos SDLC-ben és a kockázatfedezet
- A SonarQube helye a biztonsági ellenőrzésekben és a fejlesztői munkafolyamatokban
2. SonarQube áttekintés: Funkciók és architektúra
- Alapszolgáltatások, adatbázis és szkennelő komponensek
- Minőségi kapuk, minőségi profilok és minőségi kapuk ajánlott gyakorlatai
- Biztonsági funkciók: sebezhetőségek, SAST szabályok és CWE leképezés
3. A SonarQube szerver felhasználói felületének navigálása és használata
- Szerver felület bemutatása: projektek, problémák, szabályok, mérések és irányítási nézetek
- Problémaoldalak értelmezése, nyomonkövetés és javítási útmutatás
- Jelentéskészítés és exportálási lehetőségek
4. SonarScanner konfigurálása build eszközökkel
- SonarScanner beállítása Maven, Gradle, Ant és MSBuild számára
- Ajánlott gyakorlatok a szkennelő tulajdonságai, kizárások és többszörös modulprojektek esetén
- Szükséges tesztadatok és lefedettségi jelentések generálása a pontos elemzéshez
5. Integráció az Azure DevOps-szal
- SonarQube szolgáltatáskapcsolatok konfigurálása az Azure DevOps-ban
- SonarQube feladatok hozzáadása az Azure Pipelines-hoz és PR dekoráció
- Azure Repos importálása a SonarQube-ba és az elemzések automatizálása
6. Projektkonfiguráció és harmadik féltől származó elemzők
- Projektszintű minőségi profilok és szabálykiválasztás Java és Angular számára
- Harmadik féltől származó elemzőkkel való munka és bővítmények életciklusa
- Elemzési paraméterek meghatározása és paraméteröröklés
7. Szerepek, felelősségek és biztonságos fejlesztési módszertan áttekintése
- Szerepek szétválasztása: fejlesztők, felülvizsgálók, DevOps, biztonsági tulajdonosok
- Szerepkörök és felelősségek mátrixának felépítése a CI/CD folyamatokhoz
- Meglévő biztonságos fejlesztési módszertan felülvizsgálata és javaslati folyamat
8. Haladó: Szabályok hozzáadása, finomítás és globális biztonsági funkciók bővítése
- Egyéni szabályok hozzáadása és kezelése a SonarQube Web API segítségével
- Minőségi kapuk beállítása és automatizált szabályzatok érvényesítése
- SonarQube szerver biztonságának megerősítése és hozzáférés-vezérlés ajánlott gyakorlatai
9. Gyakorlati laborórák (Alkalmazott)
- Labor A: SonarScanner konfigurálása 5 Java tárházhoz (Quarkus, ahol alkalmazható) és az eredmények elemzése
- Labor B: Sonar elemzés konfigurálása 1 Angular front-endhez és a találatok értelmezése
- Labor C: Teljes folyamat labor – SonarQube integrálása egy Azure DevOps folyamattal és PR dekoráció engedélyezése
10. Tesztelés, hibaelhárítás és jelentések értelmezése
- Stratégiák tesztadatok generálásához és lefedettség méréséhez
- Gyakori problémák és hibaelhárítás a szkennelő, folyamat és engedélyhibák esetén
- A SonarQube jelentések olvasása és bemutatása technikai és nem technikai érdekelteknek
11. Ajánlott gyakorlatok és javaslatok
- Szabálykészlet kiválasztása és fokozatos érvényesítési stratégiák
- Munkafolyamat javaslatok fejlesztők, felülvizsgálók és build folyamatok számára
- Útitervezés a SonarQube skálázásához vállalati környezetekben
Összefoglalás és következő lépések
Követelmények
- A szoftverfejlesztési életciklus megértése
- Tapasztalat a verziókezeléssel és alapvető CI/CD fogalmakkal
- Ismeret a Java vagy Angular fejlesztői környezetekkel
Célközönség
- Fejlesztők (Java / Quarkus / Angular)
- DevOps és CI/CD mérnökök
- Biztonsági mérnökök és alkalmazásbiztonsági felülvizsgálók
21 Órák
Vélemények (1)
Bevezető, gyakorlati tanulás.
Balavignesh Elumalai - Scottish Power
Kurzus - SonarQube for DevOps
Gépi fordítás
