聯繫我們

課程簡介

1. 靜態程式碼分析的概念與範圍

  • 定義:靜態分析、SAST、規則類別與嚴重性
  • 安全 SDLC 中靜態分析的範圍與風險涵蓋
  • SonarQube 如何融入安全控制與開發工作流程

2. SonarQube 概覽:功能與架構

  • 核心服務、資料庫與掃描器組件
  • 品質閘道、品質設定檔及品質閘道最佳實踐
  • 安全相關功能:漏洞、SAST 規則及 CWE 映射

3. SonarQube 伺服器 UI 的操作與導覽

  • 伺服器 UI 導覽:專案、問題、規則、指標與治理視圖
  • 解讀問題頁面、可追溯性及修復指導方針
  • 報告產生與匯出選項

4. 使用建構工具配置 SonarScanner

  • 為 Maven、Gradle、Ant 和 MSBuild 設定 SonarScanner
  • 掃描器屬性、排除項目及多模組專案的最佳實踐
  • 產生必要的測試資料與覆蓋率報告,以確保分析準確性

5. 與 Azure DevOps 整合

  • 在 Azure DevOps 中配置 SonarQube 服務連線
  • 將 SonarQube 任務加入 Azure Pipelines 並啟用 PR 裝飾
  • 將 Azure Repos 匯入 SonarQube 並自動化分析流程

6. 專案配置與第三方分析器

  • 針對 Java 和 Angular 的專案層級品質設定檔與規則選擇
  • 使用第三方分析器及插件生命週期
  • 定義分析參數與參數繼承

7. 角色、職責與安全開發方法論回顧

  • 角色分離:開發人員、審查者、DevOps、安全負責人
  • 建構 CI/CD 流程的角色與職責矩陣
  • 現行安全開發方法論的檢視與建議流程

8. 進階:新增規則、調整與增強全域安全功能

  • 使用 SonarQube Web API 新增及管理自訂規則
  • 調整品質閘道與自動化政策執行
  • 強化 SonarQube 伺服器安全性與存取控制最佳實踐

9. 實機實驗室課程(應用實務)

  • 實驗室 A:為 5 個 Java 儲存庫配置 SonarScanner(適用於 Quarkus),並分析結果。
  • 實驗室 B:為 1 個 Angular 前端配置 Sonar 分析,並解讀發現的問題。
  • 實驗室 C:完整管線實驗室——將 SonarQube 整合至 Azure DevOps 管線並啟用 PR 裝飾。

10. 測試、問題排除與報告解讀

  • 測試資料產生與覆蓋率測量的策略
  • 常見問題以及掃描器、管線與權限錯誤的問題排除
  • 如何向技術與非技術利害關係人呈現 SonarQube 報告。

11. 最佳實踐與建議

  • 規則集選擇與增量執行策略
  • 針對開發人員、審查者及建構管線的工作流程建議
  • SonarQube 於企業環境中擴展的願景規劃。

總結與後續步驟

最低要求

  • 了解軟體開發生命週期
  • 具備版本控制及基本 CI/CD 概念的經驗
  • 熟悉 Java 或 Angular 開發環境

受眾

  • 開發人員(Java / Quarkus / Angular)
  • DevOps 和 CI/CD 工程師
  • 安全工程師及應用程式安全審查員
 21 小時

人數


每位參與者的報價

客戶評論 (1)

即將到來的課程

課程分類