SonarQube cho SDLC An Toàn và Azure DevOps Khóa Học Đào Tạo

1. Các khái niệm và phạm vi của Phân tích Mã Ngầm

• Định nghĩa: phân tích mã ngầm, SAST, các loại quy tắc và mức độ nghiêm trọng
• Phạm vi của phân tích mã ngầm trong SDLC an toàn và bao phủ rủi ro
• Cách SonarQube phù hợp với các biện pháp kiểm soát bảo mật và quy trình làm việc của nhà phát triển

2. Tổng quan về SonarQube: Các Tính năng và Kiến trúc

• Các dịch vụ cốt lõi, cơ sở dữ liệu và thành phần quét
• Cổng Chất lượng, Hồ sơ Chất lượng và các thực hành tốt nhất của Cổng Chất lượng
• Các tính năng liên quan đến bảo mật: lỗ hổng, quy tắc SAST và ánh xạ CWE

3. Điều hướng và Sử dụng Giao diện Màn hình của SonarQube Server

• Tour giao diện máy chủ: dự án, vấn đề, quy tắc, chỉ số và các chế độ xem quản trị
• Giải thích trang vấn đề, khả năng theo dõi và hướng dẫn khắc phục
• Tạo báo cáo và các tùy chọn xuất dữ liệu

4. Cấu hình SonarScanner với Các Công cụ Xây dựng

• Cài đặt SonarScanner cho Maven, Gradle, Ant và MSBuild
• Các thực hành tốt nhất cho các thuộc tính quét, loại trừ và dự án đa mô-đun
• Tạo dữ liệu kiểm thử cần thiết và báo cáo bao phủ để phân tích chính xác

5. Tích hợp với Azure DevOps

• Cấu hình kết nối dịch vụ SonarQube trong Azure DevOps
• Thêm các tác vụ SonarQube vào Azure Pipelines và trang trí PR
• Nhập Azure Repos vào SonarQube và tự động hóa phân tích

6. Cấu hình Dự án và Các Phân tích Từ Thứ Ba

• Hồ sơ Chất lượng dự án và việc chọn quy tắc cho Java và Angular
• Làm việc với các phân tích từ thứ ba và chu trình sống của plugin
• Xác định các tham số phân tích và kế thừa tham số

7. Vai trò, Trách nhiệm và Xem lại Phương pháp Phát triển An toàn

• Tách biệt vai trò: nhà phát triển, người đánh giá, DevOps, chủ sở hữu bảo mật
• Xây dựng ma trận vai trò và trách nhiệm cho quy trình CI/CD
• Xem lại và đề xuất quy trình cho phương pháp phát triển an toàn hiện tại

8. Nâng cao: Thêm Quy tắc, Điều chỉnh và Tăng cường các Tính năng An ninh Toàn cầu

• Sử dụng API Web SonarQube để thêm và quản lý quy tắc tùy chỉnh
• Điều chỉnh Cổng Chất lượng và thực thi chính sách tự động
• Tăng cường bảo mật máy chủ SonarQube và các thực hành kiểm soát truy cập tốt nhất

9. Các Phiên Thực hành (Ứng dụng)

• Bài tập A: Cấu hình SonarScanner cho 5 kho lưu trữ Java (Quarkus khi áp dụng) và phân tích kết quả
• Bài tập B: Cấu hình phân tích Sonar cho 1 giao diện người dùng Angular và diễn giải các phát hiện
• Bài tập C: Bài tập pipeline đầy đủ—tích hợp SonarQube vào pipeline Azure DevOps và kích hoạt trang trí PR

10. Kiểm thử, Khắc phục Sự cố và Diễn giải Báo cáo

• Các chiến lược tạo dữ liệu kiểm thử và đo lường độ phủ
• Các vấn đề phổ biến và khắc phục lỗi quét, pipeline và quyền truy cập
• Cách đọc và trình bày báo cáo SonarQube cho các bên liên quan kỹ thuật và không kỹ thuật

11. Thực hành Tốt nhất và Đề xuất

• Cách chọn bộ quy tắc và chiến lược thực thi tăng dần
• Các đề xuất quy trình làm việc cho nhà phát triển, người đánh giá và pipeline xây dựng
• Lộ trình mở rộng SonarQube trong các môi trường doanh nghiệp

Tóm tắt và Bước tiếp theo