Formation SonarQube pour un SDLC sécurisé et Azure DevOps

1. Concepts et périmètre de l'analyse statique de code

• Définitions : analyse statique, SAST, catégories de règles et sévérité
• Périmètre de l'analyse statique dans un SDLC sécurisé et couverture des risques
• Façons dont SonarQube s'intègre aux contrôles de sécurité et aux flux de travail des développeurs

2. Aperçu de SonarQube : Fonctionnalités et architecture

• Services principaux, base de données et composants de l'analyseur
• Portes de qualité, profils de qualité et meilleures pratiques pour les portes de qualité
• Fonctionnalités liées à la sécurité : vulnérabilités, règles SAST et cartographie CWE

3. Navigation et utilisation de l'interface utilisateur du serveur SonarQube

• Visite guidée de l'interface utilisateur du serveur : projets, problèmes, règles, mesures et vues de gouvernance
• Interprétation des pages de problèmes, traçabilité et conseils de remédiation
• Génération de rapports et options d'exportation

4. Configuration de SonarScanner avec les outils de compilation

• Mise en place de SonarScanner pour Maven, Gradle, Ant et MSBuild
• Meilleures pratiques pour les propriétés de l'analyseur, les exclusions et les projets multi-modules
• Génération des données de test et des rapports de couverture nécessaires pour une analyse précise

5. Intégration avec Azure DevOps

• Configuration des connexions de service SonarQube dans Azure DevOps
• Ajout des tâches SonarQube aux pipelines Azure et décoration des demandes de tirage (PR)
• Importation d'Azure Repos dans SonarQube et automatisation des analyses

6. Configuration du projet et analyseurs tiers

• Profils de qualité au niveau du projet et sélection des règles pour Java et Angular
• Travail avec les analyseurs tiers et le cycle de vie des plugins
• Définition des paramètres d'analyse et héritage des paramètres

7. Rôles, responsabilités et révision de la méthodologie de développement sécurisé

• Séparation des rôles : développeurs, inspecteurs, DevOps, propriétaires de la sécurité
• Élaboration d'une matrice des rôles et responsabilités pour les processus CI/CD
• Processus d'examen et recommandations pour une méthodologie de développement sécurisé existante

8. Avancé : Ajout de règles, ajustement et amélioration des fonctionnalités de sécurité globales

• Utilisation de l'API Web SonarQube pour ajouter et gérer des règles personnalisées
• Ajustement des portes de qualité et application automatisée des politiques

9. Séances de travaux pratiques (appliquées)

• Travaux pratiques A : Configurer SonarScanner pour 5 dépôts Java (Quarkus le cas échéant) et analyser les résultats
• Travaux pratiques B : Configurer l'analyse Sonar pour 1 interface front-end Angular et interpréter les résultats
• Travaux pratiques C : Lab complet de pipeline : intégrer SonarQube à un pipeline Azure DevOps et activer la décoration des PR

10. Tests, dépannage et interprétation des rapports

• Stratégies de génération de données de test et de mesure de la couverture
• Problèmes courants et dépannage des erreurs d'analyseur, de pipeline et d'autorisations
• Comment lire et présenter les rapports SonarQube aux parties prenantes techniques et non techniques

11. Meilleures pratiques et recommandations

• Sélection des ensembles de règles et stratégies d'application incrémentale
• Recommandations de flux de travail pour les développeurs, les inspecteurs et les pipelines de build
• Feuille de route pour le déploiement de SonarQube dans des environnements d'entreprise

Résumé et prochaines étapes