SonarQube para SDLC Seguro y Azure DevOps

1. Conceptos y alcance del análisis estático de código

• Definiciones: análisis estático, SAST, categorías de reglas y severidad.
• Alcance del análisis estático en el SDLC seguro y cobertura de riesgos.
• Cómo se integra SonarQube en los controles de seguridad y flujos de trabajo de los desarrolladores.

2. Resumen de SonarQube: Características y arquitectura

• Servicios principales, base de datos y componentes del escáner.
• Portales de calidad, perfiles de calidad y mejores prácticas para portales de calidad.
• Características relacionadas con la seguridad: vulnerabilidades, reglas SAST y mapeo de CWE.

3. Navegación y uso de la interfaz de usuario del servidor SonarQube

• Recorrido por la interfaz del servidor: proyectos, problemas, reglas, métricas y vistas de gobernanza.
• Interpretación de páginas de problemas, trazabilidad y orientación para la remediación.
• Generación de informes y opciones de exportación.

4. Configuración de SonarScanner con herramientas de compilación

• Configuración de SonarScanner para Maven, Gradle, Ant y MSBuild.
• Mejores prácticas para propiedades del escáner, exclusiones y proyectos multi-módulo.
• Generación de los datos de prueba y los informes de cobertura necesarios para un análisis preciso.

5. Integración con Azure DevOps

• Configuración de las conexiones de servicio de SonarQube en Azure DevOps.
• Agregación de tareas de SonarQube en las canalizaciones de Azure y decoración de las solicitudes de extracción (PR).
• Importación de Azure Repos en SonarQube y automatización de los análisis.

6. Configuración del proyecto y analizadores de terceros

• Perfiles de calidad a nivel de proyecto y selección de reglas para Java y Angular.
• Trabajo con analizadores de terceros y ciclo de vida de los complementos.
• Definición de parámetros de análisis y herencia de parámetros.

7. Roles, responsabilidades y revisión de la metodología de desarrollo seguro

• Separación de roles: desarrolladores, revisores, DevOps y responsables de la seguridad.
• Construcción de una matriz de roles y responsabilidades para los procesos de CI/CD.
• Proceso de revisión y recomendación para una metodología de desarrollo seguro existente.

8. Avanzado: adición de reglas, ajuste y mejora de las características globales de seguridad

• Uso de la API web de SonarQube para agregar y gestionar reglas personalizadas.
• Ajuste de los portales de calidad y aplicación automatizada de políticas.
• Endurecimiento de la seguridad del servidor SonarQube y mejores prácticas de control de acceso.

9. Sesiones de laboratorio práctico (aplicado)

• Laboratorio A: Configurar SonarScanner para 5 repositorios Java (Quarkus cuando corresponda) y analizar los resultados.
• Laboratorio B: Configurar el análisis de Sonar para 1 interfaz frontal en Angular e interpretar los hallazgos.
• Laboratorio C: Laboratorio de canalización completo: integrar SonarQube con una canalización de Azure DevOps y habilitar la decoración de PR.

10. Pruebas, resolución de problemas e interpretación de informes

• Estrategias para la generación de datos de prueba y medición de la cobertura.
• Problemas comunes y resolución de errores del escáner, la canalización y los permisos.
• Cómo leer y presentar los informes de SonarQube a interesados técnicos y no técnicos.

11. Mejores prácticas y recomendaciones

• Selección de conjuntos de reglas y estrategias de aplicación incremental.
• Recomendaciones de flujo de trabajo para desarrolladores, revisores y canalizaciones de compilación.
• Hojas de ruta para escalar SonarQube en entornos empresariales.

Resumen y próximos pasos