Curso de SonarQube para SDLC Seguro e Azure DevOps

1. Conceitos e Escopo da Análise Estática de Código

• Definições: análise estática, SAST, categorias de regras e severidade
• Escopo da análise estática no SDLC seguro e cobertura de riscos
• Como o SonarQube se encaixa nos controles de segurança e fluxos de trabalho dos desenvolvedores

2. Visão Geral do SonarQube: Características e Arquitetura

• Serviços principais, banco de dados e componentes do scanner
• Gates de Qualidade, Perfis de Qualidade e melhores práticas dos Gates de Qualidade
• Características relacionadas à segurança: vulnerabilidades, regras SAST e mapeamento CWE

3. Navegação e Uso da Interface do Servidor SonarQube

• Tour pela interface do servidor: projetos, problemas, regras, métricas e visões de governança
• Interpretação das páginas de problemas, rastreabilidade e orientações de correção
• Geração de relatórios e opções de exportação

4. Configuração do SonarScanner com Ferramentas de Compilação

• Configuração do SonarScanner para Maven, Gradle, Ant e MSBuild
• Melhores práticas para propriedades do scanner, exclusões e projetos multi-módulos
• Geração dos dados de teste e relatórios de cobertura necessários para análise precisa

5. Integração com o Azure DevOps

• Configuração das conexões de serviço do SonarQube no Azure DevOps
• Ao adicionar tarefas do SonarQube aos Pipelines do Azure e decoration de PR
• Importação dos repositórios do Azure Repos para o SonarQube e automação das análises

6. Configuração do Projeto e Analisadores de Terceiros

• Perfis de Qualidade em nível de projeto e seleção de regras para Java e Angular
• Trabalho com analisadores de terceiros e ciclo de vida de plugins
• Definição dos parâmetros de análise e herança de parâmetros

7. Funções, Responsabilidades e Revisão da Metodologia de Desenvolvimento Seguro

• Separação de papéis: desenvolvedores, revisores, DevOps e responsáveis pela segurança
• Construção de uma matriz de funções e responsabilidades para processos CI/CD
• Revisão do processo de recomendação para uma metodologia de desenvolvimento seguro existente

8. Avançado: Adição de Regras, Ajuste e Aprimoramento dos Recursos Globais de Segurança

• Uso da API Web do SonarQube para adicionar e gerenciar regras personalizadas
• Ajuste dos Gates de Qualidade e aplicação automatizada de políticas
• Hardening (fortalecimento) da segurança do servidor SonarQube e melhores práticas de controle de acesso

9. Sessões Laboratoriais Práticas (Aplicado)

• Laboratório A: Configurar o SonarScanner para 5 repositórios Java (Quarkus, quando aplicável) e analisar os resultados
• Laboratório B: Configurar a análise do Sonar para 1 front-end Angular e interpretar os achados
• Laboratório C: Laboratório completo de pipeline—integrar o SonarQube a um pipeline do Azure DevOps e ativar a decoration de PR

10. Testes, Solução de Problemas e Interpretação de Relatórios

• Estratégias para geração de dados de teste e medição da cobertura
• Problemas comuns e solução de erros do scanner, pipeline e permissões
• Como ler e apresentar os relatórios do SonarQube para partes técnicas e não-técnicas

11. Melhores Práticas e Recomendações

• Seleção de conjuntos de regras e estratégias de aplicação incremental
• Recomendações de fluxo de trabalho para desenvolvedores, revisores e pipelines de build
• Roadmap para dimensionar o SonarQube em ambientes corporativos

Resumo e Próximos Passos