SonarQube para SDL Segura y Azure DevOps

1. Conceptos y Ámbito del Análisis Estático de Código

• Definiciones: análisis estático, SAST, categorías de reglas y severidad
• Ámbito del análisis estático en el SDLC seguro y cobertura de riesgos
• Cómo SonarQube se integra en los controles de seguridad y los flujos de trabajo de desarrolladores

2. Visión General de SonarQube: Características y Arquitectura

• Servicios principales, base de datos y componentes del escáner
• Puertas de Calidad, Perfiles de Calidad y mejores prácticas para Puertas de Calidad
• Características relacionadas con la seguridad: vulnerabilidades, reglas SAST y mapeo CWE

3. Navegación y Uso de la Interfaz del Servidor SonarQube

• Tour por la interfaz del servidor: proyectos, problemas, reglas, medidas y vistas de gobernanza
• Interpretación de las páginas de problemas, rastreabilidad y guía de corrección
• Opciones de generación y exportación de informes

4. Configuración de SonarScanner con Herramientas de Compilación

• Configuración de SonarScanner para Maven, Gradle, Ant y MSBuild
• Mejores prácticas para propiedades del escáner, exclusiones y proyectos multi-módulo
• Generación de datos de prueba necesarios y informes de cobertura para un análisis preciso

5. Integración con Azure DevOps

• Configuración de conexiones de servicio SonarQube en Azure DevOps
• Agregar tareas de SonarQube a Azure Pipelines y decoración de PR
• Importar repositorios de Azure en SonarQube y automatizar análisis

6. Configuración del Proyecto y Analizadores de Terceros

• Perfiles de Calidad a nivel de proyecto y selección de reglas para Java y Angular
• Trabajar con analizadores de terceros y ciclo de vida del plugin
• Definir parámetros de análisis y herencia de parámetros

7. Roles, Responsabilidades y Revisión del Método de Desarrollo Seguro

• Separación de roles: desarrolladores, revisores, DevOps, responsables de seguridad
• Construcción de una matriz de roles y responsabilidades para procesos CI/CD
• Proceso de revisión y recomendaciones para un método de desarrollo seguro existente

8. Avanzado: Agregar Reglas, Ajustar y Mejorar Características Globales de Seguridad

• Uso de la API Web de SonarQube para agregar y gestionar reglas personalizadas
• Ajuste de Puertas de Calidad y aplicación automática de políticas
• Fortalecimiento de la seguridad del servidor SonarQube y mejores prácticas de control de acceso

9. Sesiones Prácticas en el Laboratorio (Aplicadas)

• Laboratorio A: Configurar SonarScanner para 5 repositorios Java (Quarkus cuando sea aplicable) y analizar resultados
• Laboratorio B: Configurar análisis de Sonar para un front-end Angular e interpretar hallazgos
• Laboratorio C: Laboratorio completo de pipeline—integrar SonarQube con una pipeline de Azure DevOps y habilitar decoración de PR

10. Pruebas, Solución de Problemas e Interpretación de Informes

• Estrategias para la generación de datos de prueba y medición de cobertura
• Problemas comunes y solución de problemas del escáner, pipeline y errores de permisos
• Cómo leer y presentar informes de SonarQube a interesados técnicos y no técnicos

11. Mejores Prácticas y Recomendaciones

• Selección de conjuntos de reglas y estrategias de aplicación incremental
• Recomendaciones de flujo de trabajo para desarrolladores, revisores y pipelines de construcción
• Ruta de mapa para escalar SonarQube en entornos empresariales

Resumen y Próximos Pasos