Formation SonarQube pour un SDLC sécurisé et Azure DevOps

1. Concepts et périmètre de l'analyse de code statique

• Définitions : analyse statique, SAST, catégories de règles et niveaux de sévérité
• Périmètre de l'analyse statique dans un SDLC sécurisé et couverture des risques
• Comment SonarQube s'intègre dans les contrôles de sécurité et les flux de travail des développeurs

2. Aperçu de SonarQube : fonctionnalités et architecture

• Services principaux, base de données et composants du scanner
• Portes de qualité, profils de qualité et meilleures pratiques pour les portes de qualité
• Fonctionnalités liées à la sécurité: vulnérabilités, règles SAST et mappage CWE

3. Navigation et utilisation de l'interface utilisateur du serveur SonarQube

• Tour de l'interface utilisateur du serveur : projets, problèmes, règles, mesures et vues de gouvernance
• Interprétation des pages de problèmes, traçabilité et conseils de correction
• Génération de rapports et options d'exportation

4. Configuration de SonarScanner avec des outils de build

• Mise en place de SonarScanner pour Maven, Gradle, Ant et MSBuild
• Meilleures pratiques pour les propriétés du scanner, les exclusions et les projets multi-modules
• Génération des données de test et des rapports de couverture nécessaires pour une analyse précise

5. Intégration avec Azure DevOps

• Configuration des connexions de service SonarQube dans Azure DevOps
• Ajout des tâches SonarQube aux pipelines Azure et décoration des requêtes de tirage (PR)
• Importation des dépôts Azure dans SonarQube et automatisation des analyses

6. Configuration du projet et analyseurs tiers

• Profils de qualité au niveau du projet et sélection des règles pour Java et Angular
• Utilisation d'analyseurs tiers et cycle de vie des plugins
• Définition des paramètres d'analyse et héritage des paramètres

7. Rôles, responsabilités et revue de la méthodologie de développement sécurisé

• Ségrégation des rôles : développeurs, réviseurs, DevOps, propriétaires de la sécurité
• Construction d'une matrice des rôles et responsabilités pour les processus CI/CD
• Processus de revue et recommandations pour une méthodologie de développement sécurisé existante

8. Avancé : ajout de règles, ajustement et renforcement des fonctionnalités de sécurité globales

• Utilisation de l'API Web SonarQube pour ajouter et gérer des règles personnalisées
• Ajustement des portes de qualité et application automatique des politiques
• Hardening de la sécurité du serveur SonarQube et meilleures pratiques de contrôle d'accès

9. Sessions de travaux pratiques (appliqué)

• Travaux pratiques A : configurer SonarScanner pour 5 dépôts Java (Quarkus le cas échéant) et analyser les résultats
• Travaux pratiques B : configurer l'analyse Sonar pour 1 front-end Angular et interpréter les résultats
• Travaux pratiques C : laboratoire de pipeline complet - intégrer SonarQube à un pipeline Azure DevOps et activer la décoration des PR

10. Tests, dépannage et interprétation des rapports

• Stratégies pour la génération de données de test et la mesure de la couverture
• Problèmes courants et dépannage des erreurs liées au scanner, au pipeline et aux permissions
• Comment lire et présenter les rapports SonarQube aux parties prenantes techniques et non techniques

11. Meilleures pratiques et recommandations

• Sélection des ensembles de règles et stratégies de mise en œuvre incrémentale
• Recommandations de workflow pour les développeurs, les réviseurs et les pipelines de build
• Feuille de route pour le déploiement de SonarQube dans les environnements d'entreprise

Résumé et prochaines étapes