感謝您提交詢問!我們的一位團隊成員將在短時間內與您聯繫。
感謝您提交預訂!我們的一位團隊成員將在短時間內與您聯繫。
課程簡介
1. 靜態程式碼分析的概念與範圍
- 定義:靜態分析、SAST、規則類別與嚴重性
- 安全 SDLC 中靜態分析的範圍與風險涵蓋
- SonarQube 如何融入安全控制與開發工作流程
2. SonarQube 概覽:功能與架構
- 核心服務、資料庫與掃描器組件
- 品質閘道、品質設定檔及品質閘道最佳實踐
- 安全相關功能:漏洞、SAST 規則及 CWE 映射
3. SonarQube 伺服器 UI 的操作與導覽
- 伺服器 UI 導覽:專案、問題、規則、指標與治理視圖
- 解讀問題頁面、可追溯性及修復指導方針
- 報告產生與匯出選項
4. 使用建構工具配置 SonarScanner
- 為 Maven、Gradle、Ant 和 MSBuild 設定 SonarScanner
- 掃描器屬性、排除項目及多模組專案的最佳實踐
- 產生必要的測試資料與覆蓋率報告,以確保分析準確性
5. 與 Azure DevOps 整合
- 在 Azure DevOps 中配置 SonarQube 服務連線
- 將 SonarQube 任務加入 Azure Pipelines 並啟用 PR 裝飾
- 將 Azure Repos 匯入 SonarQube 並自動化分析流程
6. 專案配置與第三方分析器
- 針對 Java 和 Angular 的專案層級品質設定檔與規則選擇
- 使用第三方分析器及插件生命週期
- 定義分析參數與參數繼承
7. 角色、職責與安全開發方法論回顧
- 角色分離:開發人員、審查者、DevOps、安全負責人
- 建構 CI/CD 流程的角色與職責矩陣
- 現行安全開發方法論的檢視與建議流程
8. 進階:新增規則、調整與增強全域安全功能
- 使用 SonarQube Web API 新增及管理自訂規則
- 調整品質閘道與自動化政策執行
- 強化 SonarQube 伺服器安全性與存取控制最佳實踐
9. 實機實驗室課程(應用實務)
- 實驗室 A:為 5 個 Java 儲存庫配置 SonarScanner(適用於 Quarkus),並分析結果。
- 實驗室 B:為 1 個 Angular 前端配置 Sonar 分析,並解讀發現的問題。
- 實驗室 C:完整管線實驗室——將 SonarQube 整合至 Azure DevOps 管線並啟用 PR 裝飾。
10. 測試、問題排除與報告解讀
- 測試資料產生與覆蓋率測量的策略
- 常見問題以及掃描器、管線與權限錯誤的問題排除
- 如何向技術與非技術利害關係人呈現 SonarQube 報告。
11. 最佳實踐與建議
- 規則集選擇與增量執行策略
- 針對開發人員、審查者及建構管線的工作流程建議
- SonarQube 於企業環境中擴展的願景規劃。
總結與後續步驟
最低要求
- 了解軟體開發生命週期
- 具備版本控制及基本 CI/CD 概念的經驗
- 熟悉 Java 或 Angular 開發環境
受眾
- 開發人員(Java / Quarkus / Angular)
- DevOps 和 CI/CD 工程師
- 安全工程師及應用程式安全審查員
21 小時
客戶評論 (1)
引人入勝,實踐性強。
Balavignesh Elumalai - Scottish Power
課程 - SonarQube for DevOps
機器翻譯