Contacta con nosotros

Temario del curso

1. Conceptos y alcance del análisis estático de código

  • Definiciones: análisis estático, SAST, categorías de reglas y nivel de gravedad.
  • Alcance del análisis estático en un SDLC seguro y cobertura de riesgos.
  • Cómo se integra SonarQube en los controles de seguridad y en los flujos de trabajo de los desarrolladores.

2. Visión general de SonarQube: características y arquitectura

  • Servicios principales, base de datos y componentes del escáner.
  • Gates de calidad, perfiles de calidad y mejores prácticas para las puertas de calidad.
  • Características de seguridad: vulnerabilidades, reglas SAST y mapeo a CWE.

3. Navegación y uso de la interfaz del servidor SonarQube

  • Tour por la interfaz: proyectos, incidencias, reglas, métricas y vistas de gobernanza.
  • Interpretación de las páginas de incidencias, trazabilidad y orientación para la remediación.
  • Generación de informes y opciones de exportación.

4. Configuración de SonarScanner con herramientas de compilación

  • Configuración de SonarScanner para Maven, Gradle, Ant y MSBuild.
  • n
  • Mejores prácticas para propiedades del escáner, exclusiones y proyectos multimódulo.
  • Generación de datos de prueba e informes de cobertura necesarios para un análisis preciso.

5. Integración con Azure DevOps

  • Configuración de las conexiones de servicio de SonarQube en Azure DevOps.
  • Añadido de tareas SonarQube a los pipelines de Azure y decoración de Pull Requests.
  • Importación de repositorios de Azure en SonarQube y automatización de los análisis.

6. Configuración del proyecto y analizadores de terceros

  • Perfiles de calidad a nivel de proyecto y selección de reglas para Java y Angular.
  • Uso de analizadores de terceros y ciclo de vida de los complementos.
  • Definición de parámetros de análisis e herencia de parámetros.

7. Roles, responsabilidades y revisión de la metodología de desarrollo seguro

  • Segregación de roles: desarrolladores, revisores, DevOps y responsables de seguridad.
  • Creación de una matriz de roles y responsabilidades para los procesos CI/CD.
  • Proceso de revisión y recomendaciones para una metodología de desarrollo seguro existente.

8. Avanzado: adición de reglas, ajuste y mejora de las funciones globales de seguridad

  • Uso de la API Web de SonarQube para añadir y gestionar reglas personalizadas.
  • Ajuste de las puertas de calidad y aplicación automatizada de políticas.
  • Fortalecimiento de la seguridad del servidor SonarQube y mejores prácticas de control de acceso.

9. Sesiones de laboratorio práctico (aplicado)

  • Laboratorio A: Configurar SonarScanner para 5 repositorios Java (Quarkus cuando corresponda) y analizar los resultados.
  • Laboratorio B: Configurar el análisis de Sonar para una interfaz front-end Angular e interpretar los hallazgos.
  • Laboratorio C: Laboratorio integral de pipelines: integrar SonarQube con un pipeline de Azure DevOps y habilitar la decoración de Pull Requests.

10. Pruebas, resolución de incidencias e interpretación de informes

  • Estrategias para la generación de datos de prueba y medición de cobertura.
  • Incidencias comunes y resolución de errores del escáner, del pipeline y de permisos.
  • Cómo leer y presentar informes de SonarQube a partes interesadas técnicas y no técnicas.

11. Mejores prácticas y recomendaciones

  • Selección del conjunto de reglas y estrategias de aplicación incremental.
  • Recomendaciones de flujo de trabajo para desarrolladores, revisores y pipelines de compilación.
  • Hojas de ruta para escalar SonarQube en entornos empresariales.

Resumen y siguientes pasos

Requerimientos

  • Conocimientos del ciclo de vida del desarrollo de software.
  • Experiencia con control de versiones y conceptos básicos de CI/CD.
  • Conocimiento de entornos de desarrollo con Java o Angular.

Público objetivo

  • Desarrolladores (Java / Quarkus / Angular).
  • Ingenieros DevOps e CI/CD.
  • Ingenieros de seguridad y revisores de seguridad de aplicaciones.
 21 Horas

Número de participantes


Precio por participante

Testimonios (1)

Próximos cursos

Categorías Relacionadas